Гибридная сеть прокси делает защитников бесполезными, а атакующих – невидимыми.
Китайские хакеры стали чаще использовать обширную сеть прокси из VPS-серверов и взломанных онлайн-устройств для проведения шпионажа.
Такие прокси-сети состоят из блоков оперативной ретрансляции (Operational Relay Box, ORB), администрируются независимыми киберпреступниками, которые предоставляют к ним доступ правительственным хакерам. ORBs напоминают ботнеты, но могут быть гибридом арендуемых VPS и скомпрометированных IoT-устройств.
Сеть ORB3/SPACEHOP
Mandiant отслеживает несколько сетей ORB, две из которых активно используются китайскими APT-группами. Одна из таких сетей, названная ORB3/SPACEHOP, активно используется группировками APT5 и APT15 для разведки и эксплуатации уязвимостей.
SPACEHOP была использована в декабре 2022 года для эксплуатации уязвимости CVE-2022-27518 в Citrix ADC и Gateway, которую АНБ связало с группой APT5. Специалисты Mandiant утверждают, что SPACEHOP использует релейный сервер, размещенный в Гонконге или Китае, и устанавливает открытую C2-инфраструктуру для управления узлами.
Сеть ORB3/SPACEHOP
Сеть ORB2/FLORAHOX
Сеть ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из C2-сервера, скомпрометированных подключенных устройств (маршрутизаторы и IoT) и VPS, которые пропускают трафик через TOR и несколько взломанных роутеров. Исследователи считают, что эта сеть используется в шпионских кампаниях разнообразными китайскими группами для маскировки исходного трафика.
Сеть состоит из нескольких подсетей, включающих устройства, скомпрометированные при помощи FLOWERWATER и других полезных нагрузок на базе маршрутизатора. Несмотря на использование ORB2/FLORAHOX различными группами угроз, Mandiant сообщает о кластерах активности, приписываемых китайским APT31/Zirconium, которые сосредоточены на краже интеллектуальной собственности.
Сеть ORB2/FLORAHOX
Сложности защиты предприятий
Использование ORB создает значительные трудности для предприятий, так как они обеспечивают скрытность, устойчивость и независимость от интернет-инфраструктуры страны. Такие сети активно используются различными группами в течение ограниченных периодов, что усложняет их отслеживание и атрибуцию.
По данным Mandiant, срок службы IP-адреса узла ORB может составлять всего 31 день, что является особенностью сети ORB, позволяющей злоумышленникам ежемесячно обновлять значительные части своей скомпрометированной или арендуемой инфраструктуры.
Анализ трафика из сетей ORB усложняется тем, что администраторы используют поставщиков номеров ASN в разных частях мира. Это делает сети более надежными и позволяет злоумышленникам атаковать предприятия с устройств, находящихся в географической близости, что вызывает меньше подозрений при анализе трафика.
С увеличением использования ORB хакерами, защита корпоративных сред становится все более сложной задачей. Обнаружение таких сетей усложняется, атрибуция становится более проблематичной, а индикаторы инфраструктуры противника менее полезны для защитников. В условиях растущей угрозы кибершпионажа, предприятиям необходимо разрабатывать новые стратегии защиты и адаптироваться к новым методам атаки.
Одно найти легче, чем другое. Спойлер: это не темная материя