Įsilaužėlių išpuoliai prieš Prancūziją: Pavojinga Houken kampanija atskleidžia silpnybes!

Įsilaužėlių išpuoliai prieš Prancūziją: Pavojinga Houken kampanija atskleidžia silpnybes!

Frankreich - Per pastaruosius kelis mėnesius kibernetinio saugumo kraštovaizdis Prancūzijoje užklupo žiaurias bangas. Taip yra dėl įsilaužimo kampanijos, į kurią Prancūzijos kibernetinio saugumo tarnyba ANSSI atidžiau pažvelgė. Jis praneša apie daugybę išpuolių, kurie buvo specialiai nukreipti prieš vyriausybės, priežiūros ir privačią šalies sektorių. Taip yra dėl kelių „Ivanti Cloud Service“ prietaisų, kurie yra jautrūs tinklai, tikslas. Šie pažeidžiamumai, dokumentuojami kaip CVE 2024-8190, CVE-2024-8963 ir CVE-2024-9380, leido užpuolikams gauti prieigą prie vertingų duomenų ir su Saugumo valdžios institucijomis suskambėti. Dar 2024 m. Rugsėjo mėn. Buvo užregistruota pirmoji šio grėsmės žaidėjo, žinomo kaip kodo pavadinimas „Hougen“, veikla. ANSSI įtaria, kad Houkeną valdo aktorius, susijęs su atakomis, kurios vyko pagal pavadinimą UNC5174 ir anksčiau buvo išanalizuoti Mandiant. Šią kibernetinių nusikaltimų formą galėtų organizuoti privatus subjektas, kuris perpardavė informaciją, surinktą į su valstybėmis susijusias teritorijas.

„Houken“ išpuoliai turėjo aiškią orientaciją: organizacijos vyriausybės, telekomunikacijų, žiniasklaidos, finansų ir transporto srityse. ANSSI dokumentavo, kad šie užpuolikai buvo ypač kvalifikuoti naudodamiesi pažangių tinklo skverbimosi metodais. Nustatyta, kad jie ne tik naudojo nulinės dienos silpnybes, bet ir išsamią smerklių įrankių įrankių rinkinį, įskaitant modifikuotus PHP internetines raumenis ir net pasirinktinius „Linux“ šaknies rinkinius, kurie sugebėjo išsinuomoti TCP srautą.

Evoliucinis išpuolių procesas

„Houken“ žalos ataskaita rodo, kad užpuolikai taip pat pasižymėjo šoniniu būdu judančiu prieigos ar įgaliojimų derliaus nuėmimu, o tai reiškia, kad jie ne tik prisijungė prie sistemų, bet ir bandė pasiekti tolesnius leidimus. Net buvo pranešta apie duomenų pašalinimo iš duomenų bylą, kai Massifas iš Pietų Amerikos šalies užsienio reikalų ministerijos buvo išskaičiuoti iš užsienio reikalų ministerijos. Užpuolių techninė ir operatyvinė kompetencija rodo „daugiapartinį požiūrį“, kuris pabrėžia jų metodų sudėtingumą.

Tada ANSSI nustatė, kad daugelyje susijusių sistemų labai trūksta segmentų. Tai leidžia suprasti, kad daugelis organizacijų ėmėsi nepakankamų atsargumo priemonių ir kad rizika gali priimti nemalonias proporcijas. Tyrimas rodo, kad „Houken“ infrastruktūra yra ne tik gili ir giliai, bet ir strategiškai apgalvota komerciniai VPN, specialūs serveriai ir skirtingi IP adresai iš skirtingų šalių sudaro jų veiklos pagrindą. Nerimą keliantis įvykis, dėl kurio visa pramonė patiria spaudimą.

Kodėl dėmesys nulinės dienos silpnoms vietoms?

2023 metai parodė, kad kibernetines atakas pirmiausia lemia nulinės dienos silpnųjų taškų naudojimas. Remiantis ataskaita, šiais metais buvo nustatyta 97 tokie silpni dalykai, o tai sudaro daugiau nei 50 procentų padidėjimą, palyginti su ankstesniais metais. Šie pažeidžiamumai buvo ne tik galutinės vartotojų platformos - taip pat buvo paveiktos įmonės orientuotos technologijos, o tai pabrėžia poreikį patobulinti saugumo priemones ir veikti aktyviau. Didžiąją šių nulinių dienų dalį naudojo šnipinėjimo veikėjai, o Kinija vaidino pagrindinį vaidmenį.

Aiškiai sutelkiant dėmesį į „Zero-Tag“ trūkumus ir dabartinius pokyčius, susijusius su „Houken“ atakomis, įmonėms būtina pagerinti saugumo protokolus ir parodyti budrumą. Houkeno ir kitų panašių veikėjų grėsmė išlieka ir padidina spaudimą organizacijoms visame pasaulyje. Nuostabių dienų naudojimas ne tik į šnipinėjimo, bet ir finansinio derlingumo įrankį, o tai yra rimtas strateginis iššūkis.

Pažvelgus į Houkeko grėsmę, galiausiai parodyta, kad kibernetinio saugumo specialistų laikai nėra lengvesni. Kaip apibendrina ANSI ir kiti saugumo analitikai, padėtis išlieka įtempta, todėl reikia tikėtis, kad tokie užpuolikai ir toliau naudosis sistemos saugumo trūkumais. Toliau plėtojant technologijas, gynybos mechanizmai taip pat turi neatsilikti.

Norėdami gauti daugiau informacijos apie susijusias silpnybes ir visą rizikos situaciją, išsamias ataskaitas galima rasti įrašas ,