Предполагаемые хакеры из Китая используют вредоносную платформу «Cuttlefish» для атаки на Турцию

📌Идентификация ‎вредоносного‏ ‎ПО ‎и ‎его ‎активность: ‎Вредоносное‏ ‎ПО, ‎идентифицированное‏ ‎как‏ ‎Cuttlefish, ‎было ‎активно‏ ‎как ‎минимум‏ ‎с ‎27 ‎июля ‎2023‏ ‎года,‏ ‎а ‎последняя‏ ‎кампания ‎проводилась‏ ‎с ‎октября ‎2023 ‎по ‎апрель‏ ‎2024‏ ‎года. ‎Вирус‏ ‎предназначен ‎для‏ ‎проникновения ‎в ‎маршрутизаторы ‎и ‎другое‏ ‎сетевое‏ ‎оборудование‏ ‎с ‎целью‏ ‎незаметной ‎кражи‏ ‎информации.

📌Географическая ‎направленность‏ ‎и‏ ‎жертвы: ‎Кампания‏ ‎в ‎основном ‎затронула ‎Турцию, ‎где‏ ‎99% ‎случаев‏ ‎заражения‏ ‎происходит ‎внутри ‎страны.‏ ‎Среди ‎остальных‏ ‎жертв ‎— ‎глобальные ‎операторы‏ ‎спутниковой‏ ‎связи ‎и,‏ ‎возможно, ‎центр‏ ‎обработки ‎данных, ‎расположенный ‎в ‎США.

📌Связь‏ ‎с‏ ‎китайскими ‎операциями:‏ ‎Исследователи ‎из‏ ‎Black ‎Lotus ‎Labs ‎предполагают ‎наличие‏ ‎связи‏ ‎между‏ ‎Cuttlefish ‎и‏ ‎китайским ‎правительством‏ ‎из-за ‎значительного‏ ‎совпадения‏ ‎с ‎другой‏ ‎вредоносной ‎программой ‎под ‎названием ‎HiatusRat,‏ ‎которая ‎использовалась‏ ‎в‏ ‎операциях, ‎отвечающих ‎интересам‏ ‎Китая.

📌Принцип ‎работы: Cuttlefish‏ ‎собирает ‎данные ‎о ‎пользователях‏ ‎и‏ ‎устройствах, ‎находящихся‏ ‎за ‎пределами‏ ‎целевой ‎сети, ‎что ‎позволяет ‎хакерам‏ ‎отслеживать‏ ‎весь ‎трафик,‏ ‎проходящий ‎через‏ ‎скомпрометированные ‎устройства. ‎Программа ‎предназначена ‎для‏ ‎маршрутизаторов‏ ‎корпоративного‏ ‎уровня ‎для‏ ‎малого ‎и‏ ‎домашнего ‎офиса‏ ‎(SOHO).

📌Кража‏ ‎данных: ‎Вредоносная‏ ‎программа ‎настроена ‎на ‎кражу ‎ключей‏ ‎для ‎облачных‏ ‎сервисов,‏ ‎таких ‎как ‎Alicloud,‏ ‎AWS, ‎Digital‏ ‎Ocean, ‎CloudFlare ‎и ‎BitBucket.‏ ‎Это‏ ‎позволяет ‎злоумышленникам‏ ‎получать ‎доступ‏ ‎к ‎данным ‎из ‎облачных ‎ресурсов,‏ ‎которые,‏ ‎как ‎правило,‏ ‎менее ‎защищены,‏ ‎чем ‎традиционные ‎сетевые ‎периметры.

📌Проблемы ‎обнаружения: Характер‏ ‎атаки,‏ ‎осуществляемой‏ ‎через ‎надежную‏ ‎внутреннюю ‎сеть,‏ ‎делает ‎ее‏ ‎особенно‏ ‎трудной ‎для‏ ‎обнаружения. ‎Многие ‎средства ‎обеспечения ‎безопасности‏ ‎сосредоточены ‎на‏ ‎внешних‏ ‎угрозах, ‎тем ‎самым‏ ‎потенциально ‎упуская‏ ‎из ‎виду ‎такие ‎действия,‏ ‎возникающие‏ ‎внутри ‎компании.

📌Последствия:‏ ‎ освещается ‎меняющийся‏ ‎ландшафт ‎угроз, ‎в ‎котором ‎методы‏ ‎пассивного‏ ‎подслушивания ‎и‏ ‎перехвата ‎данных‏ ‎становятся ‎все ‎более ‎изощренными. ‎Растущая‏ ‎проблема,‏ ‎связанная‏ ‎с ‎использованием‏ ‎облачных ‎средств‏ ‎аутентификации, ‎требует‏ ‎усиления‏ ‎мер ‎безопасности.