Стало відомо, як хакери з Китаю використовують VPN для шпигунства за всім світом

Спеціалісти компанії Censys виявили, що хакери, які, ймовірно, працюють на китайський уряд, масово використовують критичні вразливості у віртуальних приватних мережах (VPN). Таким чином компанії отримують повний контроль над пристроями.

За даними Censys, із 26 000 пристроїв, підключених до інтернету, 492 VPN Ivanti залишалися зараженими в різних країнах світу, включаючи:

• США (121 пристрій),
• Німеччину (26),
• Південну Корею (24)
• Китай (21).

Найбільше заражених пристроїв виявлено в хмарному сервісі Microsoft (13), за ним йдуть хмарні середовища Amazon (12) і Comcast (10). Дослідники Censys провели вторинне сканування серверів Ivanti Connect Secure і виявили 412 унікальних хостів з бекдором, а також 22 різних варіанти шкідливого ПЗ. Це може вказувати на безліч зловмисників або одного, що змінює свої тактики.

Йдеться про дві вразливості нульового дня у веб-компонентах Ivanti Connect Secure та Ivanti Policy Secure всіх підтримуваних версій:

CVE-2023−46 805: вразливість обходу автентифікації - дозволяє віддаленому зловмиснику отримати доступ до обмежених ресурсів, оминаючи контрольні перевірки;

CVE-2024−21 887: вразливість впровадження команд — дозволяє аутентифікованому хакеру відправляти спеціально створені запити та виконувати довільні команди на пристрої.

За словами Censys, докази компанії свідчать, що кіберзлочинці мотивовані цілями шпигунства. Ця теорія збігається з нещодавніми звітами компаній Volexity та Mandiant. Дослідники Volexity припускають, що загроза походить від «китайського державного зловмисника» UTA0178.

Источник: noworries.news