Новини та статті

HiatusRAT атакує системи Міністерства оборони США

Фахівці Black Lotus Labs компанії Lumen повідомляють, що в рамках нової шкідливої кампанії шкідливість HiatusRAT атакувала сервер Міністерства оборони США. Дослідники вважають це «розвідувальною атакою» і зазначають, що тепер цілями хакерів стали система військових закупівель США, а також організації, що базуються на Тайвані.

Раніше HiatusRAT експлуатував маршрутизатори бізнес-класу DrayTek Vigor і в основному атакував організації в країнах Латинської Америки та Європи, з метою крадіжки даних їх власників та створення прихованої проксі-мережі, але тепер цілі у операторів малварі зміниться.

Дослідники відзначають, що зловмисники перекомпілювали шкідливі бінарники для нових архітектур, включаючи Arm, Intel 80386 та x86–64, розмістивши їх на нещодавно придбаних VPS-серверах. Атаки угруповання тривали з середини червня до серпня 2023 року.

Один із цих VPS використовувався майже виключно для атак на тайванські організації, включаючи муніципальні державні установи та різні комерційні фірми, у тому числі виробників напівпровідників та хімікатів.

Інший VPS обмінювався даними із сервером, який Міністерство оборони США використовує для пропозицій щодо укладання контрактів та розміщення відповідних заявок.

Аналіз взаємодії із сервером малварі показав, що понад 91% вхідних підключень виходили з Тайваню, в основному з периферійних пристроїв виробництва Ruckus.

«З огляду на те, що сайт був пов'язаний із закупівлями, ми підозрюємо, що зловмисники могли збирати загальнодоступну інформацію про потреби військових або шукали організації, пов'язані з оборонно-промисловою базою США для наступних атак, — пишуть експерти. — Також ми вважаємо, що зловмисники шукали загальнодоступних ресурсів, пов'язаних із поточними та майбутніми військовими контрактами».

Зазначається, попри попередні звіти експертів та розкриття інструментів та можливостей атакуючих, хакери майже не турбувалися заміною існуючих серверів для корисного навантаження та продовжили роботу, навіть не спробувавши переконфігурувати свою керуючу інфраструктуру.