Группа хакеров, связанная с Китаем, с 2024 года атакует телекоммуникационные сети Южной Америки, используя три вида вредоносного ПО для обхода систем защиты. Это уже вызывает серьезные опасения среди операторов связи в регионе, так как атаки направлены на критическую инфраструктуру.
Что происходит?
Атаки отслеживаются командой Cisco Talos под именем UAT-9244. Это APT-группа проявляет активность, аналогичную другой известной группе под названием FamousSparrow, которая известна своими кибершпионскими операциями. Отмечается, что UAT-9244 может взаимодействовать с такими группами, как Salt Typhoon, хотя прямые связи пока не установлены.
Детали атак
В своих действиях хакеры применяют три ранее неизвестных типа вредоносного ПО: TernDoor для Windows, PeerTime, нацеленный на Linux, и BruteEntry, который устанавливается на сетевые устройства. TernDoor использует метод side-loading для загрузки вредоносных DLL, а PeerTime работает в средах с поддержкой Docker и может загружаться на различные архитектуры, что делает его универсальным.
Исследователи Cisco отмечают, что TernDoor, по-сути, — модификацией Crowdoor и обеспечивает постоянный доступ к заражённым системам через запланированные задачи и ключи реестра. А PeerTime позволяет извлекать командно-управляющие параметры и управлять процессами на взломанных устройствах.
Использование BruteEntry позволяет хакерам установить прокси-узлы для увеличения масштабов атак, что ставит под угрозу безопасность не только конкретных операторов, но и всей телекоммуникационной сети региона.
И что мне с этого?
Для компаний в России и СНГ эти события служат серьёзным сигналом. Факты о кибератаках на критически важную инфраструктуру подчеркивают необходимость обновления систем безопасности и повышения уровня защиты в условиях глобальных киберугроз. Особенно важным становится аудит IT-инфраструктур и готовность к потенциальным атакам.
В ближайшее время ожидается дальнейшее развитие ситуации с киберугрозами, и операторам связи стоит быть на чеку.
