Источник изображения: Privecstasy/Unsplash
Как сообщает Tom's Hardware, исследователи из словацкой компании ESET обнаружили, что хакеры, связанные с Китаем, провели целенаправленную атаку на цепочку поставок южнокорейского VPN-провайдера IPany. Злоумышленники внедрили вредоносный код в NSIS-установщик приложения для Windows, что позволило распространять бэкдор «SlowStepper» среди пользователей.
По данным ESET, взлом произошел в мае 2024 года. Хакеры модифицировали установщик VPN-приложения, размещенный на официальном сайте IPany, добавив в него скрытый бэкдор. «SlowStepper» даёт злоумышленникам возможность красть конфиденциальные данные, выполнять команды и сохранять доступ к системам достаточно длительное время. При этом пользователи, загружавшие обновления, не подозревали, что устанавливают вредоносное ПО.
В конечном итоге группа PlushDaemon, связанная с Китаем, была идентифицирована как исполнитель атаки. Этот APT-актив (Advanced Persistent Threat) действует с 2019 года и специализируется на подмене легальных каналов распространения ПО. В случае с IPany хакеры получили доступ к репозиторию компании, изменили установщик и обеспечили его распространение через официальные источники. В ESET отметили, что «в основе тактики группы лежит перенаправление трафика на контролируемые серверы», однако с какой целью перенаправлялся трафик, точных данных.
PlushDaemon является лишь одной из многочисленных китайских групп, занимающихся кибершпионажем. Ранее APT Salt Typhoon проникла в сети американских интернет-провайдеров, однако расследование замедлилось после того, как Дональд Трамп распустил курирующий совет по кибербезопасности. В свою очередь, эксперты подчёркивают, что появление таких групп, как PlushDaemon, демонстрирует, ни много ни мало, рост технологической продвинутости киберпреступников.
Собственно, инцидент с IPany напоминает, что даже проверенные поставщики услуг уязвимы для атак. ESET призвал организации усилить защиту цепочек поставок и мониторинг подозрительной активности. «Риски растут, и необходим проактивный подход к безопасности», — заключили исследователи. Подчёркивается, что «угрозы со стороны APT-групп требуют не только технических мер, но и политической координации между странами».
