СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
28.03.2025
#ИБ#Инфра

Китайские хакеры Weaver Ant четыре года вели скрытую слежку за телеком-компаниями, маскируясь под законный трафик

Китайские хакеры Weaver Ant четыре года вели скрытую слежку за телеком-компаниями, маскируясь под законный трафик

Изображение: recraft

Хакерская группировка Weaver Ant, которую связывают с Китаем, на протяжении более чем четырёх лет незаметно присутствовала в инфраструктуре одного из крупных телекоммуникационных операторов в Азии. Для сокрытия своих действий злоумышленники использовали скомпрометированные маршрутизаторы Zyxel CPE, превращённые в опорные точки, через которые проксировался трафик и маскировались внутренние каналы связи.

Аналитики из Sygnia, специализирующейся на вопросах цифровой безопасности, изучили детали этого вторжения. Как отметили представители компании, в результате атаки был выявлен целый набор вредоносных решений, среди которых — различные модификации веб-оболочки China Chopper, а также новый тип инструмента под названием INMemory. Последний представляет собой уникальную среду для выполнения задач внутри оперативной памяти, что позволяет обходить стандартные методы обнаружения.

По оценке экспертов Sygnia, действия хакеров были крайне сложны по структуре и глубоко интегрированы в архитектуру корпоративной сети. Злоумышленники обеспечили себе устойчивое присутствие, несмотря на предпринятые меры по их устранению.

В основе атаки лежала разветвлённая сеть промежуточных точек — так называемых ORB (operational relay blocks). Они, по информации исследователей, почти полностью состояли из заражённых устройств Zyxel, на которые был установлен зашифрованный вариант China Chopper. Это дало злоумышленникам возможность беспрепятственно управлять внутренними серверами и обходить существующие правила межсетевого экранирования.

Со временем участники Weaver Ant внедрили новую оболочку — INMemory. Она работает через библиотеку eval.dll и активируется в нужный момент прямо в памяти, не оставляя следов в файловой системе. Такой подход затрудняет её обнаружение даже при углублённом анализе активности в сети.

Аналитики также обратили внимание на нестандартные методы получения данных, использованные в ходе операции. Среди них — пассивное считывание информации через зеркалирование сетевых портов. Это позволило хакерам не прибегать к громоздким механизмам извлечения, что значительно снижает вероятность обнаружения вторжения.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: