Дослідники з підрозділу Cisco Talos виявили масштабну кібератаку на критичну інфраструктуру США, здійснену китайською хакерською групою UAT-6382. Зловмисники використали критичну вразливість у системі управління муніципальною інфраструктурою Trimble Cityworks, що становить серйозну загрозу національній безпеці.
Технічні деталі кібератаки
Атака характеризується високим рівнем технічної складності та використанням передових інструментів проникнення. Зловмисники розробили спеціалізований завантажувач шкідливого програмного забезпечення на мові Rust, що дозволило їм успішно експлуатувати вразливість CVE-2025-0994. Після початкового проникнення встановлювались маяки Cobalt Strike та бекдор VSHell для забезпечення постійного віддаленого доступу до скомпрометованих систем.
Використаний арсенал кіберзброї
В ході розслідування виявлено численні інструменти китайського походження, включаючи веб-шелли AntSword та chinatso/Chopper. Особливу увагу експертів привернув спеціалізований завантажувач TetraLoader, створений за допомогою білдера MaLoader, що містить чіткі ознаки китайського походження у вигляді мовних маркерів та специфічних технічних характеристик.
Заходи протидії та рекомендації з безпеки
Компанія Trimble оперативно відреагувала на загрозу, випустивши критичні оновлення безпеки на початку лютого 2025 року. Агентство CISA внесло вразливість CVE-2025-0994 до переліку активно експлуатованих загроз та встановило жорсткий триттижневий дедлайн для оновлення систем федеральних установ.
Експерти з кібербезпеки наголошують на критичній важливості негайного оновлення систем Trimble Cityworks, особливо для організацій, що керують об’єктами водопостачання, енергетики та транспорту. Рекомендується також посилити моніторинг мережевої активності, впровадити багатофакторну автентифікацію та регулярно проводити аудит безпеки критичних систем для запобігання подібним цілеспрямованим атакам у майбутньому.
