Фахівці з кібербезпеки виявили масштабну розвідувальну операцію, спрямовану на портали аутентифікації Palo Alto Networks GlobalProtect. Аналітична платформа GreyNoise зафіксувала понад 24 000 унікальних IP-адрес, задіяних у систематичному скануванні, що може свідчити про підготовку до масштабної кібератаки на критичну інфраструктуру.
Масштаб та динаміка кампанії сканування
Пікова активність зафіксована 17 березня 2025 року, коли кількість унікальних IP-адрес, залучених до сканування, сягнула 20 000. Особливе занепокоєння викликає той факт, що 99% виявлених адрес (23 800) класифіковано як потенційно небезпечні, а 154 IP-адреси мають документально підтверджений зв’язок зі зловмисною діяльністю.
Технічні особливості та методи розвідки
Паралельно з масовим скануванням спостерігається активність спеціалізованого краулера, що досліджує системи під керуванням PAN-OS. Станом на 26 березня зафіксовано 2580 IP-адрес, задіяних у цій додатковій розвідувальній операції. Технічні характеристики атак вказують на можливий зв’язок з угрупованням ArcaneDoor, відомим своїми цільовими атаками на периметральні пристрої захисту.
Географічний аналіз та стратегія атакуючих
Хоча основна частина сканувань здійснюється з території Північної Америки, експерти вважають це спробою маскування справжнього походження атак. Цільові системи розташовані переважно в США, проте під загрозою перебувають організації по всьому світу, що свідчить про глобальний характер операції.
Рекомендації щодо посилення захисту
Для мінімізації ризиків рекомендується впровадити комплекс захисних заходів:
– Провести ретельний аудит системних журналів з середини березня 2025 року
– Налаштувати розширений моніторинг спроб несанкціонованого доступу
– Впровадити багатофакторну автентифікацію на порталах GlobalProtect
– Оновити списки блокування на основі виявлених зловмисних IP-адрес
– Забезпечити актуальність всіх оновлень безпеки PAN-OS
Враховуючи прецеденти, коли подібні масштабні розвідувальні операції передували експлуатації критичних вразливостей, організаціям необхідно терміново посилити захисні механізми та підтримувати підвищений рівень готовності до відбиття можливих атак. Оперативне впровадження рекомендованих заходів захисту може стати ключовим фактором у запобіганні потенційним компрометаціям корпоративної інфраструктури.
