2 Minuty
Čínští kyberútočníci ohrozili francouzskou vládu pomocí Ivanti zero-day zranitelností
Na konci roku 2024 se francouzská vláda spolu s několika komerčními sektory, včetně telekomunikací, financí a dopravy, staly obětí sofistikovaného kybernetického útoku. Za útokem stáli hackeři podporovaní čínským státem, kteří využili vícenásobné zero-day zranitelnosti v zařízeních Ivanti Cloud Services Appliance (CSA). Útočníkům se podařilo proniknout do citlivých sítí a získat přístup k hodnotným informacím, což vyvolalo naléhavé obavy o kybernetickou bezpečnost v celé Evropě i mimo ni.
Detaily zero-day zneužití
Národní agentura pro bezpečnost informačních systémů (ANSSI) oficiálně potvrdila, že útočníci zneužili tři kritické zranitelnosti Ivanti CSA: CVE-2024-8963, CVE-2024-9380 a CVE-2024-8190. Tyto nedostatky v době incidentu nebyly opraveny, což útočníkům umožnilo krást přihlašovací údaje, udržet trvalý přístup k napadeným systémům a zároveň zůstat bez povšimnutí.
Experti na kybernetickou bezpečnost zdokumentovali několik použitých technik, včetně nasazení pokročilých PHP web shellů, úprav legitimních PHP skriptů pro vzdálený přístup a instalace škodlivých kernel modulů fungujících jako rootkity.
Skupina Houken a její taktiky
Tyto koordinované útoky jsou připisovány známé skupině Houken, která byla dříve spojena s rozsáhlými zneužitími zranitelností SAP NetWeaver a využíváním vlastních zadních vrátek GoReShell. Podle odborníků na hrozby Houken vykazuje podobné způsoby operací jako skupina UNC5174, kterou nedávno analyzoval tým Mandiant společnosti Google.
Strategií skupiny Houken je využití nejnovějších zero-day exploitů spolu se širokou škálou open-source nástrojů, převážně vyvíjených čínsky mluvícími programátory. Jejich infrastruktura je decentralizovaná, využívá komerční VPN služby a dedikované servery, což ztěžuje jejich vypátrání a posiluje odolnost vůči pokusům o odstavení.
Celosvětový dosah a pokračující rizika
Skupina Houken se v minulosti zaměřovala na státní správu a vzdělávací sektor v jihovýchodní Asii, Číně, Hongkongu a Macau. V západních zemích však svou aktivitu soustředila na klíčové oblasti, jako jsou vládní instituce, obrana, akademická půda, média a telekomunikační operátoři.
Vyšetřování naznačuje, že šlo o koordinovanou operaci více skupin. Jedna skupina se specializovala na prvotní získání přístupu do sítě a tento přístup dále prodávala dalším útočníkům hledajícím citlivé informace nebo duševní vlastnictví. Tento trend ukazuje na rostoucí význam brokera počátečního přístupu na trhu kyberkriminality.
Dopady na kybernetickou bezpečnost a reakce trhu
Tento rozsáhlý kybernetický útok podtrhuje klíčovou roli včasného řízení zranitelností a také rizika spojená s neaktualizovanými cloudovými službami v kritické infrastruktuře. Organizace využívající zařízení Ivanti nebo podobné cloudové platformy by měly zavádět proaktivní správu aktualizací a vícestupňové bezpečnostní opatření, aby snížily rizika současných i budoucích kybernetických hrozeb.
Událost dále ukazuje na trvalý vývoj trhů s kyberkriminalitou a zdůrazňuje nezbytnost mezinárodní spolupráce v oblasti detekce hrozeb a reakce na incidenty.
Zdroj: techradar
Komentáře