Китайских хакеров обвинили в проведении атак и захвате контроля над маршрутизаторами SOHO
источник: dall-e
Американское агентство по кибербезопасности и защите инфраструктуры (CISA) предупредило о деятельности китайских хакеров из группировки APT 40, которая якобы спонсируется китайскими властями. По словам специалистов, киберпреступники стараются скомпрометировать как можно больше маршрутизаторов бренда SOHO для проведения с их помощью кибершпионских атак, сообщает издание Bleeping Computer.
Хакерская группировка APT 40, также известная под названиями Kryptonite Panda, GINGHAM TYPHOON, Leviathan и Bronze Mohawk, западным специалистам по информационной безопасности известна как минимум с 2011 года. По словам экспертов, чаще всего эта хакерская группа нацелена на государственные структуры и крупные частные организации в Австралии и Соединённых Штатах.
Ранее APT 40 была связана с волной атак, нацеленных на более чем 250 000 серверов Microsoft Exchange с использованием уязвимостей ProxyLogon, а также с киберпреступными кампаниями, в рамках которых эксплуатировались уязвимости в программном обеспечении WinRAR и другом популярном софте.
«Хакерская группировка APT 40 обладает способностью быстро трансформировать и адаптировать доказательства концепции использования новых уязвимостей (POC) и немедленно использовать их против целевых сетей, имеющих инфраструктуру соответствующей уязвимости», — говорится в совместном консультативном заключении, подготовленном австралийским ACSC.
В CISA отметили, что хакеры группировки APT 40 обычно взламывают маршрутизаторы SOHO с истекшим сроком службы, используя уязвимости N-day, и захватывают их, чтобы они действовали как операционная инфраструктура. Эти захваченные устройства действуют как сетевые прокси, используемые APT 40 для запуска атак, смешиваясь с легитимным трафиком, исходящим от захваченного маршрутизатора.
