Хакеры внедряют вредоносное ПО в F5 BIG-IP для скрытой кражи данных

Китайских хакеров обвинили в кибератаках, в рамках которых они внедряют специализированное вредоносное программное обеспечение на устройства F5 BIG-IP для получения постоянного соединения с внутренней сетью целевой организации и последующей кражи данных. В этих атаках подозревается хакерская группировка под названием Velvet Ant.

В компании по кибербезопасности Sygnia, обнаружившей компрометацию устройств после того, как её экспертов вызвали для расследования кибератаки, хакерская группа Velvet Ant установила несколько «плацдармов», используя различные точки входа в сеть, в том числе устаревшее устройство F5 BIG-IP, которое служило внутренним управлением и контролем (C2) сервером.

Используя скомпрометированные устройства F5 BIG-IP, злоумышленники могли тайно похищать у атакованной компании конфиденциальную информацию о клиентах и финансовую информацию в течение трёх лет, не будучи обнаруженными.

Атака, обнаруженная компанией Sygnia, начиналась со взлома двух устаревших устройств F5 BIG-IP, которые организация-жертва использовала для межсетевого экрана, WAF, балансировки нагрузки и управления локальным трафиком. Оба устройства были обнаружены в Интернете и работали под управлением уязвимых версий ОС.

Аналитики Sygnia утверждают, что устройства были скомпрометированы с использованием известных недостатков удалённого выполнения кода для установки специального вредоносного ПО на сетевые устройства. Затем злоумышленники использовали этот доступ для получения доступа к внутренним файловым серверам, где они развернули PlugX, модульный троян удалённого доступа (RAT), который различные китайские хакеры используют для сбора и кражи данных уже более десяти лет.

Злоумышленники использовали скомпрометированное устройство F5 BIG-IP для сохранения устойчивости в сети, что позволило им получить доступ к внутренней сети, одновременно смешивая трафик злоумышленников с легитимным сетевым трафиком, что затрудняло обнаружение.