Американские серверы электронной почты правительства США взломаны в ходе атак с использованием нулевого дня Barracuda.

Подозреваемые китайские хакеры несоразмерно нацелились и взломали государственные и связанные с правительством организации по всему миру в рамках недавних атак, нацеленных на уязвимость нулевого дня Barracuda Email Security Gateway (ESG), с особым акцентом на организации в Америке. По данным отчета Mandiant, опубликованного сегодня, почти треть взломанных устройств принадлежали государственным агентствам, большинство из них в период с октября по декабрь 2022 года. «Особо следует отметить, что среди идентифицированных затронутых организаций в Северной Америке было множество государственных офисов на уровне штатов, провинций, округов, городов и поселений, которые были целью этой кампании», — сообщила компания Mandiant.

В то время как общий объем атак на местные правительства составляет менее семи процентов от общего числа идентифицированных затронутых организаций, этот показатель увеличивается почти на семнадцать процентов, если сравнивать только атаки, направленные на США». Мотивацией для атак было шпионажное действие, с участием угрозы (отслеживаемой как UNC4841), осуществляющей целевое сбор информации из систем, принадлежащих высокопоставленным сотрудникам в правительственных и высокотехнологичных секторах. Компания Barracuda предупредила своих клиентов о том, что уязвимость была использована для взлома устройств ESG 20 мая. Десять дней спустя компания также сообщила, что уязвимость нулевого дня была применена в атаках как минимум в течение семи месяцев, начиная с октября 2022 года, для распространения ранее неизвестного вредоносного программного обеспечения и кражи данных с компрометированных систем. Клиентам было предупреждение, что они должны немедленно заменить взломанные устройства, даже те, которые уже были исправлены (по данным Mandiant, примерно 5% всех устройств ESG были скомпрометированы в ходе атак).

US govt email servers hacked in Barracuda zero-day attacks

Атакующие использовали ранее неизвестное вредоносное программное обеспечение, включая SeaSpy и Saltwater, а также вредоносный инструмент SeaSide, чтобы получить удаленный доступ к взломаным системам через обратные оболочки (reverse shells). CISA также поделилась деталями о вредоносных программных обеспечениях Submarine (также известной как DepthCharge) и Whirlpool, которые были использованы в качестве финальных нагрузок в тех же атаках для поддержания постоянного доступа на небольшом числе ранее взломанных устройств, принадлежащих, по мнению Mandiant, высокоценным сотрудникам. Это «позволяет предположить, что несмотря на глобальное охватывание данной операции, она не была случайной, и что у UNC4841 было достаточно планирования и финансирования, чтобы предвидеть и подготовиться к возможным ситуациям, которые могли бы нарушить их доступ к целевым сетям», — говорится в сегодняшнем отчете Mandiant. «Мы имеем дело с мощными противниками, которые обладают огромными ресурсами, финансированием и знаниями, чтобы успешно осуществлять глобальные кампании шпионажа незамеченными. Хакеры, связанные с Китаем, усовершенствуют свои операции, чтобы они были более эффективными, скрытыми и результативными», — сообщил Austin Larsen, старший консультант по реагированию на инциденты в Mandiant, BleepingComputer.

 

Поделиться с друзьями
Оцените автора
( Пока оценок нет )