Разработчик
- Статус
- Оффлайн
- Регистрация
- 21 Июн 2025
- Сообщения
- 188
- Реакции
- 74
В ходе комплексного анализа злоумышленников, связанных с Китаем, исследователи Darktrace также обнаружили новую весьма конкретную информацию об угрозах: вредоносное ПО Chaos было модифицировано для атак на 64-разрядные серверы Linux.
В публикации от 2 апреля исследователи Darktrace
Обнаруженный исследователями Darktrace образец вредоносного ПО Chaos также включает в себя функцию SOCKS5-прокси — новую возможность, которая потенциально расширяет сферу его применения за пределы DDoS-атак и майнинга криптовалют.
«Переход к атакам на 64-разрядные серверы Linux является значимым, поскольку он предполагает, что Chaos может расширяться с периферийных устройств с меньшей ценностью на более мощную серверную инфраструктуру, что может предоставить злоумышленникам более перспективные плацдармы для проксирования, сохранения присутствия и последующих действий, другими словами, для более крупных атак», — написали исследователи.
Джейсон Сороко, старший научный сотрудник Sectigo, пояснил, что это техническое совершенствование идеально соответствует двойной оперативной стратегии, описанной исследователями Darktrace в недавнем блоге.
После трёх лет расследования десятков взломов, связанных с Китаем, специалисты Darktrace по анализу угроз обнаружили, что эти злоумышленники используют не одну, а две стратегии одновременно.
Первая — модель «быстрого проникновения и хищения»: быстрые взломы, позволяющие похитить интеллектуальную собственность в течение 48 часов, нацеленные на секторы производства, телекоммуникаций и логистики, которые тесно связаны с промышленной политикой Китая. Вторая — «спокойная и медленная»: злоумышленники внедряются в системы идентификации и остаются в режиме ожидания в течение месяцев или лет внутри транспортных сетей, телекоммуникационных систем и критически важной инфраструктуры: некоторые группы безопасности сообщили Darktrace, что у них в системах находились злоумышленники более 600 дней.
«Опытные операторы одновременно проводят кампании по быстрой эксплуатации уязвимостей и осуществляют скрытые вторжения», — сказал Сороко. «Агрессивная модель ставит во главу угла немедленную кражу интеллектуальной собственности».
Сороко добавил, что, в отличие от этого, «спящий» подход заключается в том, что злоумышленники незаметно внедряют вредоносный доступ в системы идентификации по всей критической инфраструктуре и остаются незамеченными в течение сотен дней. Сороко отметил, что эта методология демонстрирует расчетливый подход к риску и выгоде, при котором системы, подключенные к Интернету, быстро разграбляются, в то время как основные операционные сети тщательно культивируются для получения долгосрочного стратегического преимущества.
Исследование Darktrace также выявило ряд интересных фактов об этих атаках, связанных с Китаем:
В публикации от 2 апреля исследователи Darktrace
Пожалуйста, авторизуйтесь для просмотра ссылки.
, что это первый зафиксированный случай использования Chaos для атак на 64-разрядные серверы Linux. До сих пор Chaos мог атаковать только маршрутизаторы и периферийные устройства.Обнаруженный исследователями Darktrace образец вредоносного ПО Chaos также включает в себя функцию SOCKS5-прокси — новую возможность, которая потенциально расширяет сферу его применения за пределы DDoS-атак и майнинга криптовалют.
«Переход к атакам на 64-разрядные серверы Linux является значимым, поскольку он предполагает, что Chaos может расширяться с периферийных устройств с меньшей ценностью на более мощную серверную инфраструктуру, что может предоставить злоумышленникам более перспективные плацдармы для проксирования, сохранения присутствия и последующих действий, другими словами, для более крупных атак», — написали исследователи.
Джейсон Сороко, старший научный сотрудник Sectigo, пояснил, что это техническое совершенствование идеально соответствует двойной оперативной стратегии, описанной исследователями Darktrace в недавнем блоге.
После трёх лет расследования десятков взломов, связанных с Китаем, специалисты Darktrace по анализу угроз обнаружили, что эти злоумышленники используют не одну, а две стратегии одновременно.
Первая — модель «быстрого проникновения и хищения»: быстрые взломы, позволяющие похитить интеллектуальную собственность в течение 48 часов, нацеленные на секторы производства, телекоммуникаций и логистики, которые тесно связаны с промышленной политикой Китая. Вторая — «спокойная и медленная»: злоумышленники внедряются в системы идентификации и остаются в режиме ожидания в течение месяцев или лет внутри транспортных сетей, телекоммуникационных систем и критически важной инфраструктуры: некоторые группы безопасности сообщили Darktrace, что у них в системах находились злоумышленники более 600 дней.
«Опытные операторы одновременно проводят кампании по быстрой эксплуатации уязвимостей и осуществляют скрытые вторжения», — сказал Сороко. «Агрессивная модель ставит во главу угла немедленную кражу интеллектуальной собственности».
Сороко добавил, что, в отличие от этого, «спящий» подход заключается в том, что злоумышленники незаметно внедряют вредоносный доступ в системы идентификации по всей критической инфраструктуре и остаются незамеченными в течение сотен дней. Сороко отметил, что эта методология демонстрирует расчетливый подход к риску и выгоде, при котором системы, подключенные к Интернету, быстро разграбляются, в то время как основные операционные сети тщательно культивируются для получения долгосрочного стратегического преимущества.
Исследование Darktrace также выявило ряд интересных фактов об этих атаках, связанных с Китаем:
- В 88 % случаев объектами атак стали объекты критически важной национальной инфраструктуры.
- На долю США приходится 22,5% наблюдаемых целей — это самая большой доля среди всех стран.
- Более 55% всех случаев произошло в крупнейших западных странах: США, Германии, Италии, Испании и Великобритании.
- 63% вторжений начинались с эксплуатации систем, подключенных к Интернету — это признак того, что открытая для публичного доступа цифровая инфраструктура в настоящее время является основной точкой входа.
