Китайские кибершпионы используют сеть домашних маршрутизаторов для сокрытия источника атак

Хакерская группировка APT31 (Zirconium), связываемая ИБ-специалистами с китайским правительством, использует взломанные домашние маршрутизаторы для формирования прокси-сети с целью скрыть настоящий источник атак, предупредило Агентство национальной кибербезопасности Франции (ANSSI).

Ведомство опубликовало список из 161 IP-адреса, использованного группировкой в атаках на французские организации. Вредоносная кампания стартовала в начале 2021 года и продолжается по сей день.

Как пояснили в ANSSI, прокси-ботнет, созданный APT31, использовался как для рекогносцировки, так и для осуществления атак.

По словам специалиста Microsoft Threat Intelligence Center Бена Келя (Ben Koehl), с помощью прокси-сети APT31 маскирует атаки таким образом, будто они исходят из национального адресного пространства страны, где находится организация. Одна из причин применения такой тактики связана с тем, что некоторые организации в целях безопасности блокируют входящий трафик с иностранных IP-адресов.

Специалисты также выявили на VirusTotal копию вредоносного импланта, который APT31 загружает на взломанные маршрутизаторы.

Группировка APT31 является одной из двух китайских APT (вторая - APT40), которые США и союзные страны недавно обвинили в масштабных атаках на серверы Microsoft Exchange, от которых пострадали десятки тысяч организаций по всему миру.