Золотой Щит Китая – оружие ArcaneDoor: как цензура используется для шпионажа

Компания Censys раскрыла информацию о новой кибершпионской кампании ArcaneDoor, предположительно связанной с Китаем. Сообщается, что атаки начались в июле 2023 года, а первая атака была зафиксирована в январе 2024 года.

Атаки проводились группой UAT4356 (Storm-1849), которая использовала два типа вредоносного ПО: Line Runner и Line Dancer. Программы были внедрены через уязвимости в устройствах Cisco Adaptive Security Appliances, уже устранённые разработчиками ( CVE-2024-20353 с оценкой CVSS 8.6 и CVE-2024-20359 с оценкой CVSS 6.0).

В рамках исследования было установлено, что злоумышленники проявляли интерес к серверам Microsoft Exchange и устройствам других производителей. После анализа IP-адресов хакеров Censys отметила, что здесь возможно присутствие Китая. 4 из 5 хостов, использующих SSL-сертификаты, связанные с инфраструктурой злоумышленников, находятся в сетях Tencent и ChinaNet.

Найденные хосты

Кроме того, один из хостов находится в Париже и связан с антицензурным инструментом Marzban.Учитывая, что Marzban был разработан китайскими разработчиками, очевидно, что он был создан с целью обхода Великого Китайского Файервола (Great Firewall, Золотой Щит).

Определение того, спонсируются ли кибератаки Китайскими властями, требует комплексного подхода. Хотя анализ сетей, в которых размещена инфраструктура хакеров, является частью головоломки, существуют и другие факторы, которые следует учитывать, такие как методы атак, жертвы и геополитический контекст. Вполне вероятно, что расследование специалистов продолжится по мере получения более подробной информации о целях атак.

Ранее Cisco предупредила, что устройства Adaptive Security Appliances, объединяющие брандмауэр, VPN и другие защитные компоненты, были скомпрометированы хакерской группировкой, по всей видимости, связанной с одним из недружественных государств. Взломщики воспользовались двумя ранее неизвестными уязвимостями в продуктах Cisco для получения доступа к правительственным объектам в разных странах мира. Кибератака получила название ArcaneDoor.

Public Release.