Volt Typhoon, TAG-87, BRONZE SILHOUETTE довольны обилием багов в системах иностранных правительств.
Агентство по кибербезопасности и защите инфраструктуры (CISA) и еще несколько ведущих мировых организаций выпустили очередное предупреждение о критических уязвимостях в продуктах IT-гиганта Ivanti. По данным экспертов, эти проблемы, получившие обозначения CVE-2023-46805 , CVE-2024-21887 и CVE-2024-21893 , широко используются правительственными структурами по всему миру.
Согласно отчету, опубликованному исследовательской компанией Mandiant, принадлежащей Google, сразу несколько хакерских группировок из Китая, включая Volt Typhoon, активно эксплуатируют эти проблемы. Кроме того, к атакам подключились и хакеры, преследующие финансовые цели. Раньше сообщалось только о кибершпионских кампаниях.
Исследователи Mandiant сообщают , что в феврале 2024 года они начали отслеживать действия группировки, предположительно связанной с Volt Typhoon. Эта группа также пересекается с TAG-87 и BRONZE SILHOUETTE, а ее активность направлена на энергетический и оборонный сектора в США.
Таким образом, помимо Volt Typhoon, было обнаружено еще четыре китайских банды, эксплуатировавших баги после того, как Ivanti рассказала о них публично 10 января 2024 года.
Финансово мотивированные киберпреступники в основном используют CVE-2023-46805 и CVE-2024-21887 для проведения операций вроде скрытого майнинга криптовалюты. При этом только одна из группировок под названием UNC5221 эксплуатировала CVE-2023-46805 и CVE-2024-21887 еще до их раскрытия.
В Mandiant отметили, что не зафиксировали ни одного случая, когда Volt Typhoon удалось успешно скомпрометировать решения Ivanti Connect Secure. Активность этой группировки началась в декабре 2023 года с атак на Citrix Netscaler ADC, только потом они переключились на устройства Ivanti.
Остальные хакеры, в случае успешного взлома, применяли различные вредоносные программы, включая семейства TERRIBLETEA, PHANTOMNET, TONERJAM, SPAWNSNAIL и SPAWNMOLE. Зачастую, чтобы проникнуть глубже во внутренние системы, они обращались к инструментам Microsoft и VMware.
Патчи для всех трех уязвимостей уже доступны. Отчет Mandiant был опубликован через день после того, как генеральный директор Ivanti пообещал ряд изменений в работе компании в ответ на серию громких инцидентов, затронувших правительственные организации по всему миру.
Гравитация научных фактов сильнее, чем вы думаете