- 21,788
- 46
- 8 Ноя 2022
Экстренное предписание CISA не остановило атаки — хакеры сохраняют доступ даже после установки патча.
Китайская хак-группа, отслеживаемая под именем Storm-1849, продолжает активно атаковать устройства Cisco ASA, используемые правительственными структурами и крупными организациями по всему миру. Об этом сообщает аналитическая команда Unit 42 компании Palo Alto Networks, наблюдающая за действиями злоумышленников на протяжении октября. Уязвимые устройства фиксировались не только в США, но и в государственных сетях Европы, Азии, Африки и Океании.
Cisco Adaptive Security Appliance — один из самых распространённых сетевых продуктов, сочетающий функции межсетевого экрана, антивирусной фильтрации, антиспам-защиты и других компонентов безопасности. Благодаря широкому использованию в инфраструктуре министерств, банков и подрядчиков оборонного сектора, эти системы стали приоритетной целью атакующих.
По данным Unit 42, активность группы Storm-1849 особенно выделялась в течение октября, за исключением перерыва в первую неделю месяца — предположительно из-за празднования Золотой недели в Китае. Отмечена целенаправленная разведка и эксплуатация 12 IP-адресов, принадлежащих федеральным структурам США, а также 11 адресов на уровне штатов и муниципалитетов. Помимо США, в список затронутых попали адреса, ассоциированные с правительственными системами в Индии, Франции, Великобритании, Японии, Норвегии, ОАЭ, Австралии, Польше, Австрии, Испании, Нидерландах, Нигерии, Азербайджане и Бутане.
Storm-1849 также известна под обозначением UAT4356. Согласно Cisco, эта группировка использует уязвимости в устройствах ASA как минимум с 2024 года. Компания сотрудничала с правительственными агентствами для расследования волны атак, нацеленных на линейку ASA 5500-X с активированными веб-службами <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>.
В октябре Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило экстренное предписание , обязав все федеральные гражданские ведомства немедленно установить обновления для двух критических уязвимостей — CVE-2025-30333 и CVE-2025-20362 . В отчёте агентства отмечается, что атакующие комбинируют обе уязвимости, чтобы получить устойчивый доступ к системе даже после перезагрузки или обновления прошивки.
Несмотря на директиву и широкое информирование об угрозе, атаки Storm-1849 не прекратились. Специалисты предупреждают, что эта группировка действует с высокой скоростью и демонстрирует явные признаки развития. Хотя CISA формально не указывает на китайское происхождение атак, связанный анализ инфраструктуры ArcaneDoor, проведённый исследователями Censys, выявил связи с китайскими провайдерами и программным обеспечением для обхода блокировок, созданным в КНР.
В CISA и Cisco отказались от дополнительных комментариев по поводу принадлежности кампании 2025 года к китайским группам, несмотря на сходства с операцией ArcaneDoor, раскрытой годом ранее .
Китайская хак-группа, отслеживаемая под именем Storm-1849, продолжает активно атаковать устройства Cisco ASA, используемые правительственными структурами и крупными организациями по всему миру. Об этом сообщает аналитическая команда Unit 42 компании Palo Alto Networks, наблюдающая за действиями злоумышленников на протяжении октября. Уязвимые устройства фиксировались не только в США, но и в государственных сетях Европы, Азии, Африки и Океании.
Cisco Adaptive Security Appliance — один из самых распространённых сетевых продуктов, сочетающий функции межсетевого экрана, антивирусной фильтрации, антиспам-защиты и других компонентов безопасности. Благодаря широкому использованию в инфраструктуре министерств, банков и подрядчиков оборонного сектора, эти системы стали приоритетной целью атакующих.
По данным Unit 42, активность группы Storm-1849 особенно выделялась в течение октября, за исключением перерыва в первую неделю месяца — предположительно из-за празднования Золотой недели в Китае. Отмечена целенаправленная разведка и эксплуатация 12 IP-адресов, принадлежащих федеральным структурам США, а также 11 адресов на уровне штатов и муниципалитетов. Помимо США, в список затронутых попали адреса, ассоциированные с правительственными системами в Индии, Франции, Великобритании, Японии, Норвегии, ОАЭ, Австралии, Польше, Австрии, Испании, Нидерландах, Нигерии, Азербайджане и Бутане.
Storm-1849 также известна под обозначением UAT4356. Согласно Cisco, эта группировка использует уязвимости в устройствах ASA как минимум с 2024 года. Компания сотрудничала с правительственными агентствами для расследования волны атак, нацеленных на линейку ASA 5500-X с активированными веб-службами <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>.
В октябре Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) выпустило экстренное предписание , обязав все федеральные гражданские ведомства немедленно установить обновления для двух критических уязвимостей — CVE-2025-30333 и CVE-2025-20362 . В отчёте агентства отмечается, что атакующие комбинируют обе уязвимости, чтобы получить устойчивый доступ к системе даже после перезагрузки или обновления прошивки.
Несмотря на директиву и широкое информирование об угрозе, атаки Storm-1849 не прекратились. Специалисты предупреждают, что эта группировка действует с высокой скоростью и демонстрирует явные признаки развития. Хотя CISA формально не указывает на китайское происхождение атак, связанный анализ инфраструктуры ArcaneDoor, проведённый исследователями Censys, выявил связи с китайскими провайдерами и программным обеспечением для обхода блокировок, созданным в КНР.
В CISA и Cisco отказались от дополнительных комментариев по поводу принадлежности кампании 2025 года к китайским группам, несмотря на сходства с операцией ArcaneDoor, раскрытой годом ранее .
- Источник новости
- www.securitylab.ru
