Китайские хакеры охотятся за Европой: три уязвимости и руткит превратили континент в золотую жилу

Французские власти раскрыли масштабную кибератаку, охватившую ключевые сферы — от госучреждений до телеком- и транспортных компаний. За операцией стоит китайская группировка Houken, действовавшая с сентября 2024 года. Хакеры эксплуатировали ранее неизвестные дыры в безопасности устройств Ivanti CSA, позволяя себе месяцами оставаться незаметными для админов и собирать данные с самых чувствительных сетей.

Специалисты ANSSI отмечают, что злоумышленники применяли целый арсенал — от классических PHP-вебшеллов до руткита на уровне ядра Linux. Для бокового перемещения по заражённым сетям использовались инструменты GOREVERSE и HTTP-туннели, а доступ к системам закреплялся через модуль «sysinitd.ko», который перехватывал трафик и открывал злоумышленникам полный контроль. Инфраструктура Houken базировалась на коммерческих VPN и арендованных серверах, помогая тщательно скрывать источник атак.

По данным экспертов, атака не ограничивалась промышленным шпионажем. Злоумышленники продавали доступы другим группам и использовали их для установки криптомайнеров, превращая сеть жертвы в источник дохода. Интересно, что после эксплуатации уязвимостей киберпреступники сами закрывали «дыры», чтобы защитить свои «владения» от конкурентов.

Улики, в том числе временная зона UTC+8 и китайскоязычные инструменты, указывают на происхождение группировки. Характер атак свидетельствует, что Houken и UNC5174 действуют как единая сила, специализирующаяся на продаже доступа и разведывательной информации. Пострадали не только европейские, но и азиатские организации, включая университеты и НПО, что говорит о глобальном масштабе кампании.