Кибергруппировки из КНР массово используют взломанные роутеры для атак на инфраструктуру

Специализированные ведомства десяти стран выпустили совместное предупреждение о масштабной деятельности хакерских группировок, связанных с Китаем. Злоумышленники массово взламывают бытовые роутеры и устройства интернета вещей (IoT) по всему миру, объединяя их в скрытые сети для проведения кибератак, кражи конфиденциальных данных и дестабилизации работы целевых организаций.

Глобальная угроза скрытых сетей

В отчете, подготовленном экспертами из Великобритании, США, Австралии, Канады, Германии, Японии, Нидерландов, Новой Зеландии, Испании и Швеции, подчеркивается стратегический характер использования ботнетов. Хакеры не просто получают доступ к отдельным устройствам, а создают разветвленную инфраструктуру для маскировки своей активности.

Согласно данным аналитиков, к созданию подобных сетей причастны китайские компании в сфере информационной безопасности. В качестве примера приводится структура под названием Integrity Technology Group, которая в 2024 году контролировала сеть Raptor Train. Эта сеть скомпрометировала более 200 000 устройств, включая:

• Роутеры для малого бизнеса и домашних офисов (SOHO)
• IP-камеры и системы видеонаблюдения
• Межсетевые экраны
• Сетевые хранилища данных (NAS)

Тактика скрытого присутствия

Группировки, такие как Flax Typhoon, активно используют указанные ботнеты для сокрытия следов своей деятельности. Часто одна и та же инфраструктура эксплуатируется сразу несколькими атакующими группами. Известная активность Volt Typhoon, направленная на проникновение в критически важные сети США, также опирается на использование устаревшего сетевого оборудования Cisco и Netgear, поддержка которого производителями уже прекращена.

Из-за высокой динамики создания и удаления ботнетов эксперты призывают не полагаться исключительно на статические списки индикаторов компрометации, так как они стремительно теряют актуальность.

Рекомендации по защите инфраструктуры

Для противодействия угрозе профильные агентства рекомендуют сетевым администраторам принять следующие меры:

• Мониторинг и установление базовых показателей трафика пограничных устройств, включая  каналы удаленного доступа.
• Внедрение систем фильтрации на основе актуальных данных об известных вредоносных узлах.
• Обязательное использование многофакторной аутентификации для удаленного доступа.
• Применение модели нулевого доверия (Zero Trust), использование белых списков IP-адресов и проверка машинных сертификатов.
• Для крупных организаций — проактивный поиск аномалий в трафике IoT-устройств с помощью инструментов машинного обучения и географического профилирования.

В докладе отмечается, что помимо государственных структур, к подобным методам прибегают и киберпреступники, преследующие финансовую выгоду. Недавняя ликвидация прокси-сети SocksEscort, скомпрометировавшей сотни тысяч роутеров для проведения масштабных финансовых махинаций, подтверждает, что взлом сетевого оборудования остается одним из ключевых векторов кибератак в глобальном масштабе.