Кибершпионская группа атакует уязвимые системы VMware: узнали спустя месяцы
С начала текущего года корпоративные сети по всему миру подвергаются целенаправленным и систематическим кибератакам, которые можно охарактеризовать как методическое проникновение, а не разовый взлом. Злоумышленная группа, предположительно связанная с Китаем, использует уязвимость в VMware vCenter, известную с 2023 года, но не устранённую многими организациями.
Специалисты компании Sygnia, занимающиеся анализом кампании «Fire Ant», отмечают, что действия злоумышленников настолько незаметны, что некоторые жертвы обнаруживают факт взлома только спустя несколько месяцев.
Методика обхода «непреодолимой» защиты
Обычно корпоративные сети сегментированы, и критически важные данные хранятся в изолированных зонах, доступ к которым извне практически невозможен. Однако группа «Fire Ant» разработала стратегию, позволяющую обходить эту защиту. Вместо грубого взлома системы, злоумышленники используют цепочку мелких уязвимостей, постепенно продвигаясь вглубь сетевой инфраструктуры. Этот метод можно сравнить с проникновением муравьёв в здание через микроскопические трещины в стенах, а не через входные двери.
Причины недостаточной защищённости компаний
Уязвимость CVE-2023-34048 была выявлена почти два года назад, однако многие организации откладывали её устранение, опасаясь возможных сбоев в работе систем. Это привело к тому, что злоумышленники не только получают несанкционированный доступ к данным, но и остаются внутри корпоративных сетей, маскируясь под легитимных пользователей. Аналитики отмечают, что некоторые атаки могут длиться достаточно долго, чтобы злоумышленники могли изучить внутренние процессы компаний и адаптироваться к существующим механизмам защиты.
Рекомендации для компаний, находящихся в зоне риска
Специалисты настоятельно рекомендуют незамедлительно провести аудит всех виртуальных сред VMware на предмет наличия не устранённых уязвимостей. Однако это лишь первый шаг. Кампания «Fire Ant» продемонстрировала, что традиционные методы обеспечения кибербезопасности уже не являются достаточными. Теперь безопасность зависит не только от своевременного обновления программного обеспечения, но и от непрерывного мониторинга сетевой активности. Злоумышленники больше не стремятся к взлому дверей — они предпочитают оставаться незамеченными, ожидая, пока кто-либо забудет закрыть их, пишет moneytimes.
