Мрежите на интернет доставчиците са привлекателна цел за кибепрестъпниците
(снимка: CC0 Public Domain)
Тактиките на кибепрестъпниците постоянно еволюират. Напоследък се наблюдава нова тенденция – хакерите се научиха как масово и тихо да разпространяват зловреден софтуер чрез пробиви в системите на интернет доставчиците.
Китайската хакерска група StormBamboo, известна още като Evasive Panda, хакна интернет доставчик и започна да заразява компютрите на неговите абонати със зловреден софтуер, съобщи PCMag.
Новата тактика е засечена от експерти по киберсигурност на компанията Volexity, докато са разследвали киберинцидент с хакване на ресурсите на неназована организация
Първоначално специалистите на Volexity предполагат, че защитната стена на атакуваната организация е била компрометирана, но по-нататъшно разследване разкрива, че произходът на зловредния софтуер е „нагоре по веригата до ниво ISP”.
Източникът на проблема се оказва „отравяне на DNS” – атака, при която хакер манипулира системата за домейн имена и пренасочва потребителския трафик към злонамерени уеб ресурси.
Volexity е уведомила интернет доставчика за проблема и той, от своя страна, е проверил работата на оборудването, което маршрутизира трафика в мрежата. След рестартиране и изключване на някои мрежови компоненти, симптомите на DNS отравянето спират.
Експертите по киберсигурност обвиняват за атаката китайската хакерска група StormBamboo, известна още като Evasive Panda.
След като прихващат контрола върху DNS системата в мрежата на интернет доставчика, нападателите заменят ресурсите, до които потребителските програми имат достъп за актуализации на софтуера – по-специално безплатния медиен плейър 5KPlayer, със зловредни такива.
Когато приложенията се опитат да получат актуализации, вместо това към тях потеглят пакети със зловреден софтуер. Хакерите на StormBamboo са използвали този модел на атака върху няколко софтуерни продукта, които използват несигурни механизми за актуализиране.
Volexity не разкрива интернет доставчика или броя на компютрите, засегнати от атаката, но говори за „множество инциденти”, които датират от средата на 2023 г.
Компютрите на жертвите работят с Windows и macOS, а сред зловредния софтуер са програми като MACMA и MGBot – те позволяват на нападателите да правят отдалечени екранни снимки, да прихващат натискания на клавиши и да крадат файлове и пароли.
Твърди се също така, че в атаката срещу ресурсите на интернет доставчика нападателите са използвали зловредния софтуер CATCHDNS, предназначен да работи в Linux среда.