Китайские хакеры взломали южнокорейскую VPN в ходе атаки на цепочку поставок

Связанные с Китаем хакеры (через ESET Research) предположительно скомпрометировали южнокорейского VPN-провайдера IPany в ходе рассчитанной атаки на цепочку поставок, которая подвергла многочисленных пользователей вредоносному ПО. Злоумышленники проникли в конвейер разработки программного обеспечения IPany, внедрив вредоносный код в установщик NSIS для его VPN-приложения на базе Windows.

Эта сложная операция позволила распространить специальный бэкдор, известный как «SlowStepper», среди ничего не подозревающих пользователей. Это еще один громкий пример использования уязвимостей в цепочке поставок для кибершпионажа.

Первоначально нарушение было обнаружено в мае 2024 года исследователями из словацкой компании по кибербезопасности ESET, которая раскрыла нарушение в мае 2024 года. Они идентифицировали измененный установщик, обслуживаемый непосредственно с официального сайта IPany. Злоумышленники подделали установщик, включив в него бэкдор SlowStepper. Эта модульная вредоносная программа позволяет злоумышленникам извлекать конфиденциальные данные, выполнять команды и поддерживать долгосрочное присутствие на скомпрометированных системах. Пользователи, загружающие, казалось бы, легитимные обновления программного обеспечения, непреднамеренно подвергали свои системы бэкдору, предоставляя злоумышленникам значительный контроль над своими устройствами.

«Похоже, жертвы вручную загрузили ZIP-архив, содержащий вредоносный установщик NSIS, с URL-адреса https://ipany[.]kr/download/IPanyVPNsetup.zip», — сообщил исследователь ESET Факундо Муньос в своем сообщении в блоге.

Группа, стоящая за этой атакой, PlushDaemon, является китайским игроком Advanced Persistent Threat (APT), который действует как минимум с 2019 года. PlushDaemon известен тем, что перехватывает каналы распространения законного программного обеспечения для доставки вредоносных полезных нагрузок. В этом случае они получили доступ к репозиторию программного обеспечения IPany, изменили установщик и обеспечили его распространение через официальные каналы. Их тактика включает перенаправление законного трафика на контролируемые злоумышленниками серверы для доставки вредоносных обновлений, что является отличительным признаком компрометации цепочки поставок.

В Китае есть несколько активных групп APT, занимающихся постоянным кибершпионажем против США и их союзников. Недавно китайская APT Salt Typhoon проникла в сети американских провайдеров широкополосного доступа, но расследование столкнулось с неудачами, когда президент Трамп уволил совет по кибербезопасности, курировавший его.

Между тем, появление PlushDaemon, новой и сложной APT-группы, связанной с Китаем, с разнообразным набором инструментов и долгой историей операций, подчеркивает растущую киберугрозу. Эксперты призывают организации сохранять бдительность в отношении все более продвинутой вредоносной деятельности. Взлом IPany также является суровым напоминанием о том, что даже широко известные поставщики уязвимы для кибератак, что требует проактивного подхода к безопасности.

Источник: Tomshardware.com