24 Января 2024 09:23 24 Янв 2024 09:23 |

Поделиться

Китайская киберразведка полтора года пользовалась в VMware зияющей «дырой», о которой не знали ни разработчики, ни жертвы

А сапы здесь тихие

Критическая уязвимость в программном обеспечении (ПО) VMware vCenter Server эксплуатировалась китайской киберразведкой в течение как минимум полутора лет, прежде чем вендор выкатил исправления к ней.

«Баг» CVE-2023-34048, допускающий запуск произвольного кода в vCenter, был официально выявлен и устранен прошлой осенью. А на прошлой неделе в бюллетене VMware появилось сообщение о том, что компании известны об успешной эксплуатации этой уязвимости. Подробностей вендор приводить не стал.

Зато это сделала фирма Mandiant, которая заявила что активной эксплуатацией CVE-2023-34048 занималась кибершпионская группа UNC3886, связанная с китайскими спецслужбами.

В июне 2023 г. Mandiant раскрыла кампанию, которую производила UNC3886. Тогда, впрочем, акцент был сделан на уязвимости в другом продукте VMware - ESXi (CVE-2023-20867), с помощью которой в целевые системы загружались бэкдоры, после чего злоумышленники добивались привилегий уровня root в среде хостов ESXi.

Однако этому предшествовала именно компрометация серверов vCenter.

Как они это делали

До последнего времени эксперты в Mandiant не до конца понимали, каким образом хакеры добивались привилегированного доступа к серверам vCenter. В конце 2023 г. эксперты наблюдали, как за мгновение до загрузки бэкдоров происходил сбой в работе службы vmdird. То же самое происходило и при эксплуатации CVE-2023-34048.

Исследователи Mandiant отметили, что при большинстве сбоев vmdird логи сохранялись, а вот основные дампы vmdird хакеры уничтожали.

«По умолчанию дампы ядра [vmdird] хранятся неопределенный срок, а значит злоумышленники целенаправленно их удаляли, чтобы замести следы», - говорится в публикации Mandiant.

Как с помощью ad-hoc инструмента снизить расходы на внедрение аналитики

Импортонезависимость

Как указывается в бюллетене Mandiant, такие сбои наблюдались в связи с деятельностью UNC3886 в в последние месяцы 2021 и первые месяцы 2022 г., что может указывать, что злоумышленники могли иметь доступ к этой уязвимости в течение как минимум полутора лет.

«Кибершпионские атаки всегда носят узконаправленный характер: количество целей невелико, вероятность застать атакующих "с поличным" также невысока, особенно если в организациях жертв не отлажены защитные механизмы», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, атаки могут продолжаться очень длительное время, не привлекая внимания ни жертвы, ни вендора уязвимых продуктов, ни сторонних исследователей безопасности. «Обставить хакеров в таких случаях можно только на их же поле: производить регулярный поиск уязвимостей и в конкретных продуктах, и в инфраструктуре тех организаций, которые с наибольшей вероятностью станут жертвами атак», - подытожил Михаил Зайцев.

Специалисты за работой

Группировка UNC3886 специализируется на атаках на организации оборонного, правительственного, технологического и телеком-секторов в США, Японии и других стран Азиатско-Тихоокеанского региона.

Любимым трюком кибершпионов является эксплуатация ранее неизвестных уязвимостей в файерволлах и платформах виртуализации, особенно тех, где отсутствуют EDR-решения (средства обнаружения киберинцидентов на эндпойнтах).

Что типично для кибершпионских групп, UNC3886 производит лишь узконаправленные атаки, так что о массовой эксплуатации указанных уязвимостей речи не идет.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка