Când rețelele digitale ale municipiilor și ale firmelor se intercalează cu operațiunile entităților statale, rezultatul poate fi infiltrări îndelungate și tacite. Cercetătorii au descoperit că hackeri chinezi au rămas nevăzuți în mediul unei organizații mai mult de un an, transformând o componentă legitimă a platformei ArcGIS într-un acces de tip web shell.
ArcGIS, sistemul GIS dezvoltat de Esri, este utilizat de orașe, furnizori de utilități și administrații pentru colectarea, vizualizarea și administrarea datelor spațiale prin hărți. Platforma suportă extensii numite server object extensions (SOE), menite să extindă funcționalitatea serverului. Exact această funcționalitate a fost exploatată: atacatorii au încărcat un SOE Java malițios pe un server ArcGIS expus public, server conectat la unul intern, astfel încât comenzi codate în base64, trimise printr-un parametru REST numit layer, erau executate pe serverul intern și păreau operațiuni obișnuite. Comunicarea a fost protejată cu o cheie secretă hardcodată, ceea ce a limitat accesul doar la cei care cunoșteau cheia.
Echipa ReliaQuest, care a anchetat incidentul, consideră că grupul responsabil este un APT chinezesc cunoscut ca Flax Typhoon, iar gradul de certitudine este moderat. Observatorii acestui actor știu că favorizează campanii de spionaj de durată și accesuri discrete prin software legitim; utilizarea unui SOE ca web shell pare o variațiune nouă, dar în aceeași direcție strategică.
După instalarea SOE-ului malițios, atacatorii nu s-au limitat la comenzi prin API. Au folosit acea intrare pentru a descărca și instala SoftEther VPN Bridge, înregistrându-l ca serviciu Windows care pornea automat la boot. VPN-ul a creat un tunel HTTPS outbound către serverul atacatorilor, la adresa 172.86.113[.]142, conectând rețeaua internă a victimei direct la mașina externă. Traficul pe portul 443 părea trafic web obișnuit, astfel încât activitatea putea rămâne ascunsă chiar dacă SOE-ul era descoperit și eliminat, serviciul VPN rămânând operațional. Odată stabilită conexiunea, atacatorii au putut scana rețeaua locală, se mișca lateral, accesa gazde interne, extrage credențiale sau exfiltra date fără a mai depinde de web shell.
ReliaQuest a observat activități îndreptate asupra a două stații de lucru ale personalului IT al organizației. Atacatorii au încercat să extragă baza de date Security Account Manager, chei din registrul de securitate și secrete LSA, acțiuni tipice pentru escaladarea privilegiilor și dobândirea de conturi cu drepturi sporite. O dovadă concretă a colectării de credențiale a fost crearea și accesarea unui fișier pass.txt.lnk, ceea ce indică tentative active de a traversa mediul Active Directory și de a compromite alte sisteme.
Flax Typhoon are un istoric de atacuri asupra guvernelor, infrastructurilor critice și organizațiilor IT. FBI a legat grupul de botnetul masiv Raptor Train, care a afectat entități din SUA, iar recent OFAC a sancționat companii care sprijineau aceste operațiuni sponsorizate de stat. Esri a confirmat că acesta este primul caz cunoscut în care un SOE este folosit astfel; dezvoltatorul va actualiza documentația pentru a avertiza utilizatorii asupra riscului unor SOE malițioase.
Acest incident arată cât de periculoasă poate fi combinarea unei funcționalități concepute pentru extensibilitate cu credențiale administrative valide: un SOE compromis împreună cu un VPN persistent pot transforma o intrare aparent limitată într-un pod către întreaga rețea internă. Exemplele concrete din raport, ArcGIS, SOE Java, SoftEther VPN Bridge, IP-ul 172.86.113[.]142 și încercările de dump ale SAM și LSA, ilustrează tehnicile folosite pentru menținerea discretă a accesului și pentru mișcările laterale în Active Directory. Actualizările de documentație Esri și practicile stricte de administrare a conturilor privilegiate sunt pași necesari, dar incidentele subliniază și necesitatea monitorizării extinse a traficului outbound și detectării serviciilor persistente instalate în mod neobișnuit.
Esri, ArcGIS, SoftEther VPN Bridge și indicatorii tehnici menționați în investigație rămân elemente esențiale pentru orice echipă de securitate care vrea să prevină o astfel de infiltrare. Ce crezi că ar trebui schimbat mai întâi în protecția platformelor GIS folosite de administrații și operatori critici?
Fii primul care comentează