Хакеры, предположительно базирующиеся в Китае, проводят сканирование и эксплуатируют популярную линейку брандмауэров Cisco, используемых правительственными структурами в США, Европе и Азии.
Специалисты по реагированию на инциденты из подразделения Unit 42 компании Palo Alto Networks отслеживают атаки на Cisco Adaptive Security Appliances (ASA) — популярные устройства, применяемые правительствами и крупным бизнесом для объединения нескольких функций безопасности в одном месте. Помимо функции брандмауэра, эти устройства также предотвращают вторжения, фильтруют спам, выполняют антивирусные проверки и многое другое.
В отчёте, переданном изданию Recorded Future News, Unit 42 приписывает атаки на устройства Cisco ASA группировке Storm-1849 — китайской хакерской группе, которая, по данным Cisco, атакует эти инструменты с 2024 года.
Исследователи Unit 42 сообщили, что в течение октября они фиксировали продолжение атак китайских хакеров на устройства Cisco ASA, принадлежащие финансовым организациям, оборонным подрядчикам и военным структурам США. Отмечается, что Storm-1849 (также известная как UAT4356) традиционно нацеливается на государственные учреждения, оборонную промышленность и финансовый сектор.
При этом активность группы снизилась с 1 по 8 октября — вероятно, из-за празднования Золотой недели в Китае.
Пит Реналс, директор по национальным программам безопасности Unit 42, отметил, что на протяжении октября Storm-1849 «продолжала атаковать уязвимые пограничные устройства правительственных структур».
Unit 42 зафиксировала сканирование и эксплуатацию 12 IP-адресов, принадлежащих федеральным агентствам США, а также 11 IP-адресов местных и региональных органов власти, подвергшихся атакам в октябре.
Кроме американских учреждений, под прицелом оказались IP-адреса государственных органов Индии, Нигерии, Японии, Норвегии, Франции, Великобритании, Нидерландов, Испании, Австралии, Польши, Австрии, ОАЭ, Азербайджана и Бутана.
Месяц назад Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило экстренную директиву, предписывающую всем федеральным гражданским ведомствам установить исправления для уязвимостей CVE-2025-30333 и CVE-2025-20362, затрагивающих устройства Cisco ASA.
По данным CISA, хакеры связывают эти две уязвимости в цепочку при атаках. Агентство отметило, что злоумышленники отличаются высоким уровнем подготовки и уже нашли способы получать доступ к устройствам ASA и сохранять контроль над ними даже после перезагрузки и обновления системы.
Ведомствам был дан всего один день на установку патчей. Cisco также сообщила, что в мае 2025 года совместно с несколькими правительственными агентствами расследовала атаки на устройства ASA 5500-X Series, работающие под управлением Cisco Secure Firewall ASA Software с активированными VPN-веб-сервисами.
«Несмотря на предупреждения и экстренные директивы, опубликованные в прошлом месяце, подчёркивающие критическую необходимость обновлений, эта группа продолжает свои кампании», — заявил Реналс.
«Хотя такие группы, как Salt и Volt Typhoon, по-прежнему представляют серьёзную угрозу, новые формирования, например Storm-1849, быстро расширяют масштабы своей деятельности и приобретают глобальное влияние».
CISA не назвала конкретных исполнителей атак, но связала их с той же государственной группировкой, стоявшей за кампанией ArcaneDoor, выявленной в прошлом году.
CISA и Cisco официально не стали приписывать кампанию 2025 года китайским хакерам, однако исследовательская компания Censys, изучившая IP-адреса, контролируемые злоумышленниками и связанные с кампанией ArcaneDoor 2024 года, обнаружила данные, «свидетельствующие о возможном участии акторов, базирующихся в Китае, включая связи с крупными китайскими сетями и наличие разработанного в Китае ПО для обхода цензуры».
Представители CISA и Cisco отказались от комментариев.
- Источник: https://therecord.media/chinese-hackers-scan-exploit-firewalls-government
Специалисты по реагированию на инциденты из подразделения Unit 42 компании Palo Alto Networks отслеживают атаки на Cisco Adaptive Security Appliances (ASA) — популярные устройства, применяемые правительствами и крупным бизнесом для объединения нескольких функций безопасности в одном месте. Помимо функции брандмауэра, эти устройства также предотвращают вторжения, фильтруют спам, выполняют антивирусные проверки и многое другое.
В отчёте, переданном изданию Recorded Future News, Unit 42 приписывает атаки на устройства Cisco ASA группировке Storm-1849 — китайской хакерской группе, которая, по данным Cisco, атакует эти инструменты с 2024 года.
Исследователи Unit 42 сообщили, что в течение октября они фиксировали продолжение атак китайских хакеров на устройства Cisco ASA, принадлежащие финансовым организациям, оборонным подрядчикам и военным структурам США. Отмечается, что Storm-1849 (также известная как UAT4356) традиционно нацеливается на государственные учреждения, оборонную промышленность и финансовый сектор.
При этом активность группы снизилась с 1 по 8 октября — вероятно, из-за празднования Золотой недели в Китае.
Пит Реналс, директор по национальным программам безопасности Unit 42, отметил, что на протяжении октября Storm-1849 «продолжала атаковать уязвимые пограничные устройства правительственных структур».
Unit 42 зафиксировала сканирование и эксплуатацию 12 IP-адресов, принадлежащих федеральным агентствам США, а также 11 IP-адресов местных и региональных органов власти, подвергшихся атакам в октябре.
Кроме американских учреждений, под прицелом оказались IP-адреса государственных органов Индии, Нигерии, Японии, Норвегии, Франции, Великобритании, Нидерландов, Испании, Австралии, Польши, Австрии, ОАЭ, Азербайджана и Бутана.
Месяц назад Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило экстренную директиву, предписывающую всем федеральным гражданским ведомствам установить исправления для уязвимостей CVE-2025-30333 и CVE-2025-20362, затрагивающих устройства Cisco ASA.
По данным CISA, хакеры связывают эти две уязвимости в цепочку при атаках. Агентство отметило, что злоумышленники отличаются высоким уровнем подготовки и уже нашли способы получать доступ к устройствам ASA и сохранять контроль над ними даже после перезагрузки и обновления системы.
Ведомствам был дан всего один день на установку патчей. Cisco также сообщила, что в мае 2025 года совместно с несколькими правительственными агентствами расследовала атаки на устройства ASA 5500-X Series, работающие под управлением Cisco Secure Firewall ASA Software с активированными VPN-веб-сервисами.
«Несмотря на предупреждения и экстренные директивы, опубликованные в прошлом месяце, подчёркивающие критическую необходимость обновлений, эта группа продолжает свои кампании», — заявил Реналс.
«Хотя такие группы, как Salt и Volt Typhoon, по-прежнему представляют серьёзную угрозу, новые формирования, например Storm-1849, быстро расширяют масштабы своей деятельности и приобретают глобальное влияние».
CISA не назвала конкретных исполнителей атак, но связала их с той же государственной группировкой, стоявшей за кампанией ArcaneDoor, выявленной в прошлом году.
CISA и Cisco официально не стали приписывать кампанию 2025 года китайским хакерам, однако исследовательская компания Censys, изучившая IP-адреса, контролируемые злоумышленниками и связанные с кампанией ArcaneDoor 2024 года, обнаружила данные, «свидетельствующие о возможном участии акторов, базирующихся в Китае, включая связи с крупными китайскими сетями и наличие разработанного в Китае ПО для обхода цензуры».
Представители CISA и Cisco отказались от комментариев.
- Источник: https://therecord.media/chinese-hackers-scan-exploit-firewalls-government