Компанія Sekoia виявила безпрецедентну за масштабами кібератаку, в ході якої зловмисники з групи ViciousTrap захопили контроль над більш ніж 5300 прикордонними мережевими пристроями. Особливість цієї операції полягає в тому, що скомпрометовані пристрої були перетворені на розгалужену мережу ханіпотів – спеціалізованих пасток для збору розвідувальної інформації про нові методи кібератак.
Технічні деталі атаки та вразливі пристрої
Основним вектором проникнення стала критична вразливість CVE-2023-20118, що вражає популярні моделі маршрутизаторів Cisco Small Business. Під загрозою опинилися пристрої серій RV016, RV042, RV042G, RV082, RV320 та RV325. Найбільша концентрація скомпрометованих пристроїв – приблизно 850 одиниць – зафіксована в Макао, що може вказувати на стратегічний інтерес зловмисників до цього регіону.
Інфраструктура та механізми атаки
Після успішної експлуатації вразливості зловмисники впроваджують шкідливий скрипт NetGhost, який здійснює перенаправлення вхідного мережевого трафіку з визначених портів скомпрометованого маршрутизатора на контрольовану хакерами інфраструктуру. Експерти з кібербезпеки встановили зв’язок цієї кампанії з раніше виявленим ботнетом PolarEdge, що використовував схожі техніки атак.
Масштаб ураження та цільове обладнання
Дослідження показало, що зловмисники цілеспрямовано атакують мережеве обладнання понад 50 виробників, включаючи Araknis Networks, Asus, D-Link, Linksys та Qnap. У фокусі атак перебувають домашні маршрутизатори, SSL-VPN шлюзи, відеореєстратори та BMC-контролери, що свідчить про комплексний підхід до створення розвідувальної мережі.
Ознаки китайського походження та стратегічні цілі
Технічний аналіз виявив використання IP-адрес малайзійського хостинг-провайдера Shinjiru (AS45839) та серверів на території Тайваню і США. Експерти також знайшли часткові збіги інфраструктури ViciousTrap із відомим шкідливим програмним забезпеченням GobRAT, що може вказувати на китайське походження групи.
За оцінками фахівців Sekoia, головною метою операції ViciousTrap є створення масштабної розвідувальної мережі для збору даних про нові техніки кібератак та вразливості “нульового дня”. Така інфраструктура дозволяє зловмисникам відстежувати активність інших хакерських груп та отримувати доступ до непублічних експлойтів, що становить серйозну загрозу для глобальної кібербезпеки. Організаціям рекомендується терміново перевірити свої мережеві пристрої на наявність ознак компрометації та застосувати всі доступні оновлення безпеки.
