Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки

Che Browser Antidetect
Сервисы от NOVA

Support81

Original poster
Administrator
Сообщения
677
Реакции
191
Посетить сайт
Гибридная сеть прокси делает защитников бесполезными, а атакующих – невидимыми.
image



Китайские хакеры стали чаще использовать обширную сеть прокси из

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

-серверов и взломанных онлайн-устройств для проведения шпионажа.

Такие прокси-сети состоят из блоков оперативной ретрансляции (Operational Relay Box,

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

), администрируются независимыми киберпреступниками, которые предоставляют к ним доступ правительственным хакерам. ORBs напоминают ботнеты, но могут быть гибридом арендуемых VPS и скомпрометированных IoT-устройств.

Сеть ORB3/SPACEHOP


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

несколько сетей ORB, две из которых активно используются китайскими APT-группами. Одна из таких сетей, названная ORB3/SPACEHOP, активно используется группировками APT5 и APT15 для разведки и эксплуатации уязвимостей.

SPACEHOP была использована в декабре 2022 года для эксплуатации уязвимости

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

которую АНБ связало с группой APT5. Специалисты Mandiant утверждают, что SPACEHOP использует релейный сервер, размещенный в Гонконге или Китае, и устанавливает открытую

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

-инфраструктуру для управления узлами.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Сеть ORB3/SPACEHOP

Сеть ORB2/FLORAHOX

Сеть ORB2/FLORAHOX представляет собой гибридную сеть, состоящую из C2-сервера, скомпрометированных подключенных устройств (маршрутизаторы и IoT) и VPS, которые пропускают трафик через TOR и несколько взломанных роутеров. Исследователи считают, что эта сеть используется в шпионских кампаниях разнообразными китайскими группами для маскировки исходного трафика.

Сеть состоит из нескольких подсетей, включающих устройства, скомпрометированные при помощи FLOWERWATER и других полезных нагрузок на базе маршрутизатора. Несмотря на использование ORB2/FLORAHOX различными группами угроз, Mandiant сообщает о кластерах активности, приписываемых китайским APT31/Zirconium, которые сосредоточены на краже интеллектуальной собственности.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Сеть ORB2/FLORAHOX

Сложности защиты предприятий

Использование ORB создает значительные трудности для предприятий, так как они обеспечивают скрытность, устойчивость и независимость от интернет-инфраструктуры страны. Такие сети активно используются различными группами в течение ограниченных периодов, что усложняет их отслеживание и атрибуцию.

По данным Mandiant, срок службы IP-адреса узла ORB может составлять всего 31 день, что является особенностью сети ORB, позволяющей злоумышленникам ежемесячно обновлять значительные части своей скомпрометированной или арендуемой инфраструктуры.

Анализ трафика из сетей ORB усложняется тем, что администраторы используют поставщиков номеров ASN в разных частях мира. Это делает сети более надежными и позволяет злоумышленникам атаковать предприятия с устройств, находящихся в географической близости, что вызывает меньше подозрений при анализе трафика.

С увеличением использования ORB хакерами, защита корпоративных сред становится все более сложной задачей. Обнаружение таких сетей усложняется, атрибуция становится более проблематичной, а индикаторы инфраструктуры противника менее полезны для защитников. В условиях растущей угрозы кибершпионажа, предприятиям необходимо разрабатывать новые стратегии защиты и адаптироваться к новым методам атаки.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Китайские хакеры атакуют НАТО: взломана сеть армии Нидерландов Новости в сети 0
S Китайские хакеры продают инструмент для взлома уязвимых web-камер Новости в сети 0
Support81 Китайские боты научились имитировать американцев — и это работает Новости в сети 0
Support81 Кара за Сирию: хакеры парализуют критическую инфраструктуру Турции Новости в сети 0
Support81 CloudSorcerer: хакеры шпионят за российскими чиновниками через Microsoft Graph, Yandex Cloud и Dropbox Новости в сети 0
Support81 Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android Новости в сети 0
Support81 Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты Новости в сети 0
Support81 Ботнет в каждом доме: хакеры снова порабощают роутеры TP-Link для DDoS-атак Новости в сети 0
Support81 Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании Новости в сети 0
Support81 Саратовский кинодел, ФСБ и хакеры: чем закончилась громкая история о торговле американскими картами Новости в сети 1
Support81 Фантомные хакеры с украинским следом: PhantomCore атакует Россию Новости в сети 1
Support81 Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом Новости в сети 0
Support81 Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле? Новости в сети 0
Support81 Как хакеры взломали мир: 14 самых громких взломов 2023 года Новости в сети 1
Support81 NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета Новости в сети 0
Support81 Азиатские хакеры ведут ожесточенные кибератаки на российские системы Новости в сети 0
Support81 UNC4841 — настоящие спецагенты или просто хакеры высокого класса? Новости в сети 0
Support81 Юные британские хакеры взломали десятки организаций по всему миру, как им это удалось? Новости в сети 0
Support81 Шокирующая правда о Cl0p: эксперты выяснили, из какой страны работают хакеры Новости в сети 0
Support81 Шпионаж обернулся утечкой: хакеры выложили в сеть данные тысяч пользователей LetMeSpy Новости в сети 0
Support81 CISA заявило о DDoS-атаках: хакеры хотят дестабилизировать ситуацию в мире Новости в сети 0
DOMINUS Неизвестные хакеры перехватили доступ над доменом Perl.com Новости в сети 1
Denik Интересно Многие северокорейские хакеры работают в России и Беларуси Новости в сети 0
A Интересно «Правительственные» хакеры взломали почту высокопоставленных лиц Эстонии Новости в сети 0
S Атака со спутника. Как хакеры Turla перехватывают спутниковые интернет-каналы Новости в сети 0
S Преступная нейросеть. Могут ли хакеры обратить во зло искусственный интеллект Полезные статьи 1
D Куда сливают хакеры базы данных? Способы заработка 1
K Социальная инженерия и социальные хакеры Авторы Максим Кузнецов, Игорь Симдянов Другое 0
V Как взламывают хакеры Полезные статьи 1
M Как раньше хакеры взламывали банки. Полезные статьи 2
M Русские хакеры - русская мафия Видео/Музыка 3

Название темы