Китайская хакерская группа StormBamboo, также известная как Evasive Panda, взломала интернет-провайдера и начала распространять вредоносное ПО через компьютеры его пользователей. Об этом сообщили специалисты по кибербезопасности из компании Volexity, расследуя взлом одной организации.
Сначала эксперты Volexity предположили, что был скомпрометирован брандмауэр атакованной организации, но позже выяснилось, что проблема лежит глубже — на уровне самого интернет-провайдера. Оказалось, что злоумышленники использовали технику «отравления DNS», при которой они изменяют настройки доменных имён и перенаправляют пользователей на вредоносные сайты.
Volexity оповестила провайдера о проблеме, и тот проверил оборудование, отвечающее за маршрутизацию трафика в сети. После перезагрузки и отключения некоторых компонентов сети симптомы отравления DNS исчезли. Ответственными за атаку эксперты считают группу StormBamboo.
Хакеры перехватили контроль над системой DNS провайдера и подменили легитимные ресурсы, к которым обращаются программы пользователей для обновлений. Например, вместо обновлений для медиаплеера 5KPlayer пользователи получали вредоносное ПО. Таким образом, хакеры распространяли вредоносное ПО через несколько программ, использующих ненадёжные механизмы обновления.
Volexity не раскрыла имя интернет-провайдера или количество затронутых компьютеров, но уточнила, что инциденты начались в середине 2023 года. Вредоносное ПО поражало компьютеры под управлением Windows и macOS, включая зловредов MACMA и MGBot, которые позволяли злоумышленникам удалённо делать скриншоты, перехватывать нажатия клавиш, красть файлы и пароли. Для атаки на инфраструктуру провайдера, вероятно, использовался вредонос CATCHDNS, предназначенный для работы в среде Linux.