Murky Panda: Китайские хакеры атакуют облачные сервисы
Насколько вы уверены в своих облачных сервисах? Новый пример — из серии «кто кого перехитрит»: китайская группировка Murky Panda не просто обманула доверие компаний к провайдерам облака, но и использует это доверие как свое главное оружие. По данным Crowdstrike, эти игроки ломают облачные среды SааS (сервисы по подписке) через уязвимости типа «нулевого дня» — такие дыры в системах поставщиков, о которых никто не знал, пока их не трощат хакеры. За последний год эксперты зафиксировали не меньше двух случаев, где китайцы заходили через эти пробелы в безопасности.
Оказавшись внутри, Murky Panda проводят разведку — изучают логику работы жертвы, чтобы через инфраструктуру поставщика проникать дальше к конечным клиентам. Здесь речь идёт ровно о той атаке «через третьи руки», которой с каждым годом все больше боятся в крупных конторах. Примечательно: ловить подобную активность до сих пор сложно, поскольку вектор входа — через облачного подрядчика — мало кто мониторит. В отличие от банального вскрытия аккаунтов или прямого взлома веб-приложений.
Методы и инструменты Murky Panda напоминают стиль другой госгруппы из Китая, Silk Typhoon (подразумевается, что между ними может быть связь, сотрудничество, или просто имитация — спецы не берутся утверждать наверняка). В фокусе у злоумышленников — шпионаж: данные интересуют по линии властей, технологических компаний, университетов и юридических организаций, в основном в Северной Америке, хотя границы у таких схем чисто условные.
Излюбленные вредоносные приемы — эксплуатировать старые, но до сих пор опасные дыры, вроде CVE-2023-3519 в системах Citrix NetScaler ADС/Gateway (эта «дыра» уже давно гуляет по спискам угроз, и из нее черпали выгоду разные преступники, в том числе авторы вымогательских вирусов). В некоторых случаях взламывались и мелкие маршрутизаторы в офисах или квартирах.
Итак, если кому-то еще кажется, что облако — это безопасно и просто, тут немного реальности: доверие стоит дорого. А Murky Panda уже знают, где наше нежное место.
Cloud — магическое слово для айтишников и мечта бухгалтерии. Но есть и другой взгляд: стоит вам доверить пароли очередному 'поставщику счастья', как в игру входят неуловимые китайские хакеры. Murky Panda, коллеги по сцене Silk Typhoon (и голливудские названия не спасают), спокойно осваиваются в чужих облаках, словно у себя дома на кухне.
Им не нужны ваши пароли, их не интересуют ваши доклады про безопасность. Им интересны дыры, о которых еще никто не слышал — zero-day, как в лучших анекдотах. Эти группы используют невидимый путь, когда обычные службы безопасности только разогревают кресла для работы со взломами сайтов. А Murky Panda — уже внутри, собирает данные, и идет дальше по экосистеме клиентов. Смешно, но именно поставщики облака — слабое звено. Не ваше небо — их лишние двери.
Отдельный кикер: эксплуатируют даже годами не закрытые уязвимости типа CVE-2023-3519, давно бич айтишников. Бюджет "на закрытие дырок" расходуют, но ловить шпионов — "забыли". Пугает не сама атака, а как легко идет все у Murky Panda. Шипение кулеров, усталый взгляд айтишника: быть может, в вашем облаке кто-то уже живет? Сарказм? Лучше перестраховаться. Если данные — ваше все, пора спросить любимого облачного провайдера: кто держит дверь открытой для гостей с Востока?