Хакеры нашли новый способ взлома обновлений ПО, используя уязвимости в механизме автоматической настройки IPv6

Исследователи в области информационной безопасности зафиксировали серию атак, в которых злоумышленники внедряются в обновления программного обеспечения с помощью уязвимостей протокола IPv6. Эксперты компании ESET обратили внимание на методы, применяемые хакерской группировкой под названием TheWizards, чья деятельность, по имеющимся данным, координируется из Китая.

Эти киберпреступники не менее двух лет действуют на территории Азии и Ближнего Востока, среди прочего охотясь за игорными платформами, частными пользователями и организациями из Филиппин, Камбоджи, ОАЭ, Китая и Гонконга.

Аналитики ESET подчёркивают, что основным инструментом злоумышленников стал вредоносный модуль, получивший название Spellbinder. Он позволяет проводить атаки формата «злоумышленник в середине» и вмешиваться в сетевой трафик, маскируясь под законные обновления программ. Главным объектом манипуляций оказывается технология SLAAC — способ, при котором устройства на IPv6-сетях самостоятельно получают IP-адрес и шлюз без обращения к DHCP-серверу. Для этого обычно используются сообщения RA от маршрутизаторов, поддерживающих соответствующий протокол.

Специалисты ESET подчёркивают, что Spellbinder вмешивается в этот процесс, подменяя легитимные RA-пакеты поддельными. Как результат, устройства в локальной сети получают ложные параметры подключения: новые адреса, DNS-серверы и, главное, шлюз по умолчанию, который на самом деле ведёт на машину, подконтрольную злоумышленникам.

Журналисты уточняют, что атака запускается широковещательной рассылкой RA-сообщений каждые 200 миллисекунд. Такие пакеты направляются на ff02::1 — адрес, охватывающий все устройства в пределах локальной IPv6-сети. Если на этих компьютерах активирована автоконфигурация, они начинают перенаправлять весь IPv6-трафик на систему с активным Spellbinder. Оттуда пакеты анализируются, и, если необходимо, сгенерированные злоумышленниками ответы возвращаются жертве, не вызывая подозрений.

По мнению представителей ESET, данная тактика открывает хакерам доступ к установке вредоносного ПО, при этом маскировка под сетевые обновления существенно снижает шанс обнаружения вторжения. Технология, изначально задуманная как способ упростить подключение устройств к сети, оборачивается инструментом для скрытного вмешательства и компрометации рабочих станций.