Сегодня на мировой арене кибербезопасности прогремела новость о разоблачении хакерской группировки Houken, связанной с Китаем. Она использует уязвимости нулевого дня в программном обеспечении Ivanti Endpoint Manager (ранее MobileIron) для развёртывания Linux-rootkits.

«Здесь мы видим не просто очередной взлом, а целенаправленную кампанию от высококвалифицированной группировки, которая выбрала объективно сложную цель и показала, что любую цифровую крепость можно взять — была бы мотивация», — отметил руководитель GSOC компании «Газинформсервис» Александр Михайлов.

Эксперт объяснил, что злоумышленники атаковали самое сердце удалённого доступа — VPN-шлюзы Ivanti, которые используются тысячами компаний по всему миру для подключения сотрудников. Как если бы воры получили не просто ключ от квартиры, а мастер-ключ от всего здания.

Злоумышленники использовали широкий спектр инструментов и особое внимание уделили закреплению — использовали руткиты и даже закрывали уязвимости, через которые проникли в инфраструктуру. Цель такой атаки — не быстрый заработок, а долгосрочное, скрытое присутствие в сети для шпионажа и сбора данных.

«Бизнесу в этой ситуации необходимо исходить из "презумпции взлома". Мы рекомендуем не только своевременно обновлять программное обеспечение и прошивки, но и проводить глубокий аудит на предмет следов компрометации. Такие атаки подчёркивают критическую важность непрерывного мониторинга безопасности и многоуровневой защиты. Сегодня кибербезопасность – это не спринт, а марафон, где бдительность нельзя терять ни на секунду», — подчеркнул руководитель GSOC.