Специалисты компании Sekoia выявили масштабную кибератаку, в ходе которой хакерская группировка ViciousTrap скомпрометировала более 5300 пограничных сетевых устройств в 84 странах мира. Злоумышленники трансформировали захваченные устройства в разветвленную сеть ханипотов — специальных ловушек для сбора данных о новых методах кибератак.
Механизм компрометации и масштаб атаки
Основным вектором атаки стала критическая уязвимость CVE-2023-20118, затрагивающая популярные модели маршрутизаторов Cisco Small Business, включая серии RV016, RV042, RV042G, RV082, RV320 и RV325. Наибольшая концентрация скомпрометированных устройств — около 850 единиц — зафиксирована в Макао.
Техническая реализация и инфраструктура
После успешной эксплуатации уязвимости хакеры разворачивают вредоносный скрипт NetGhost, который перенаправляет входящий сетевой трафик с определенных портов взломанного маршрутизатора на контролируемую злоумышленниками инфраструктуру. Эксперты отмечают связь данной кампании с ранее обнаруженным ботнетом PolarEdge, использовавшим аналогичные методы атаки.
Масштаб и целевые устройства
Исследование показало, что злоумышленники целенаправленно атакуют широкий спектр сетевого оборудования более 50 производителей, включая Araknis Networks, Asus, D-Link, Linksys и Qnap. В фокусе атак находятся домашние маршрутизаторы, SSL-VPN шлюзы, видеорегистраторы и BMC-контроллеры.
Признаки китайского следа
Технический анализ выявил, что атаки осуществляются с IP-адресов, принадлежащих малазийскому хостинг-провайдеру Shinjiru (AS45839). Исследователи обнаружили частичное пересечение инфраструктуры ViciousTrap с известным вредоносным ПО GobRAT, а также активное использование серверов на территории Тайваня и США, что может указывать на китайское происхождение группировки.
По оценкам экспертов Sekoia, основной целью ViciousTrap является создание масштабной разведывательной сети для сбора информации о новых техниках кибератак и уязвимостях «нулевого дня». Такая инфраструктура позволяет злоумышленникам отслеживать активность других хакерских групп и получать доступ к непубличным эксплоитам, что представляет серьезную угрозу для глобальной кибербезопасности.