В марте нынешнего года киберпреступной группировкой DarkHotel была организована масштабная вредоносная кампания, нацеленная на китайские правительственные учреждения и их сотрудников.
Специалисты из Qihoo 360, обнаружившие атаки, заявляют, что преступники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN для получения удаленного доступа к корпоративным и государственным сетям.
В ходе данной кампании было взломано более 200 VPN-серверов, выявили эксперты. 174 из этих серверов были расположены в сетях правительственных учреждений в Пекине и Шанхае, а также в сетях китайских дипломатических представительств, действующих за рубежом.
Преступники заменили файл SangforUD.exe на версию с ловушкой. Данный файл представляет собой обновление для настольного приложения Sangfor VPN, которое сотрудники устанавливают на свои компьютеры. Когда работники подключались к взломанным серверам Sangfor VPN, им предоставлялось автоматическое обновление для их настольного клиента, содержащее вредоносный файл, который позже устанавливал на устройствах бэкдор.
Sangfor подтвердила факт компрометации устройств с помощью уязвимости нулевого дня и
выпустила необходимое исправление. Компания также планирует выпустить скрипт для
обнаружения взлома VPN-серверов преступниками и инструмент для удаления файлов,
развернутых DarkHotel.