ФБР обратилось за помощью к общественности для выявления китайских хакеров

Федеральное бюро расследований США обратилось за помощью к общественности в связи с расследованием взлома периферийных устройств и компьютерных сетей, принадлежащих компаниям и государственным учреждениям. В ведомстве заявили, что с помощью обычных пользователей они постараются найти якобы китайских хакеров, причастных к крупномасштабным атакам на устройства американских пользователей.

ФБР заявило, что хакерская APT-группа, предположительно китайскоязычная, смогла разработать и внедрить вредоносное программное обеспечение на огромное количество сетевых устройств в Соединённых Штатах и во многих других странах мира. Причём эта киберпреступная активность была связана с попытками выкрасть большие объёмы конфиденциальных данных посредством компрометации межсетевых экранов, связанных с эксплуатацией уязвимости CVE-2020-12271.

Деятельность ФБР в этом направлении началась после серии отчётов, опубликованных поставщиком решений для кибербезопасности Sophos, в которых описан ряд хакерских кампаний, проводившихся в период с 2018 по 2023 год. В ходе этих кампаний устройства периферийной инфраструктуры использовались хакерами для развёртывания вредоносного ПО или их повторного использования в качестве прокси-серверов, чтобы оставаться незамеченными.

Вредоносная деятельность под кодовым названием Pacific Rim, направленная на слежку, саботаж и кибершпионаж, приписывается нескольким якобы спонсируемым государством китайским хакерским группам — APT31, APT41 и Volt Typhoon. Самая ранняя атака датируется концом 2018 года и была направлена на индийское дочернее предприятие Sophos Cyberoam.

Было установлено, что некоторые из последующих массовых атак использовали множественные уязвимости нулевого дня в межсетевых экранах Sophos — CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040 и CVE-2022-3236 — для компрометации устройств и доставки полезных нагрузок как в прошивку устройства, так и в те, которые находятся в локальной сети организации.