Хакеры взломали интернет-провайдера и через него заразили пользователей вирусом
Новости Отредактировано
Хакерские группировки с каждым разом придумывают все более изощренные способы атак — в этот раз «отравили» DNS-сервера
212 открытий5К показов
Эксперты Volexity опубликовали материал, в котором рассказали об обнаружении в 2023 году нескольких инцидентов. Все они были связаны с заражением вирусом группировкой StormBamboo (также известной как Evasive Panda).
Но самое интересное то, как именно произошло заражение.
Как произошел взлом
Изначально установить источник заражения было сложно, но позднее выяснилось, что причиной стала атака на уровне провайдера интернет-услуг (ISP), известная как «отравление DNS».
В ходе атаки, StormBamboo изменяли ответы DNS-запросов для определённых доменов, связанных с механизмами автоматического обновления программного обеспечения. В результате пользователи вместо легитимных обновлений получали вредонос.
Вредоносные программы и механизмы атаки
StormBamboo использовали уязвимые механизмы обновления программ, такие как HTTP, которые не проверяют цифровые подписи установочных файлов.
Заражённый софт загружал и устанавливал вредоносные обновления, включающие в себя такие программы, как MACMA и POCOSTICK (также известная как MGBot).
Реализация атаки
В одном из инцидентов было установлено, что StormBamboo отравляли DNS-запросы, перенаправляя их на сервер в Гонконге с IP-адресом 103.96.130[.]107
.
Первоначально в Volexity предполагали, что проблема могла быть в самом корпоративном фаерволе, но дальнейшее расследование показало, что атака проводилась на уровне провайдера интернет-услуг.
После уведомления ISP и совместной работы по устранению уязвимостей, взломы прекратились.
Отметим, что атака StormBamboo на интернет-провайдера и последующее заражение пользователей через отравление DNS-запросов показывает, насколько сложными и продуманными могут быть действия хакеров.
212 открытий5К показов