3 уязвимости + 1 руткит — и китайцы за 4 месяца обчистили пол-Европы.

Китайская хакерская группа Houken за 4 месяца проникла в крупнейшие системы Европы, используя три уязвимости и руткит

Французское агентство по кибербезопасности (ANSSI) сообщило о масштабной атаке на ключевые секторы страны — от госструктур до телекомов, транспорта, финансов и медиа. Атаку организовала китайская группировка Houken, связанная с кластером UNC5174 (известен как Uetus), ранее отслеживаемым Google Mandiant.

С сентября 2024 года злоумышленники эксплуатировали три уязвимости в Ivanti Cloud Services Appliance (CSA) — CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Для скрытности использовались руткиты, вебшеллы (в том числе Behinder, neo-reGeorg), GOREVERSE, suo5 и модуль ядра Linux sysinitd.ko.

В ход шли как эксплойты нулевого дня, так и опенсорс-инструменты китайского происхождения. Houken применяла инфраструктуру на базе коммерческих VPN и выделенных серверов, а также устраняла уязвимости после их эксплуатации, чтобы закрыть доступ другим хакерам.

По данным HarfangLab, Houken активно работает с брокерами первоначального доступа: одни группы находят уязвимости, другие — эксплуатируют, а затем продают доступы клиентам, чаще всего связанным с госструктурами.

Кроме разведки, в некоторых случаях фиксировалось использование взломанных систем для майнинга криптовалют. Также группа ранее атаковала SAP NetWeaver, продукты Palo Alto Networks, F5 BIG-IP и другие.

Эксперты считают, что Houken и UNC5174 — части одного преступного бизнеса, специализирующегося на продаже доступа и данных. Атаки исходили из часового пояса UTC+8 (Китай), что подтверждается техническими следами и поведением.

Вывод: европейские ИТ-системы оказались инструментом в чужих операциях — незаметно и масштабно.