Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.
В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.
Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.
Источник: