Napredna grupa kineskih hakera, poznata kao Houken, uspješno iskorištava više nultodnevnih ranjivosti u uređajima Ivanti Cloud Service Appliance (CSA) kako bi instalirala sofisticirane Linux rootkitove i uspostavila trajni pristup u kritičnim infrastrukturnim mrežama. Kampanja koja je započela u septembru 2024. godine uspješno je kompromitovala organizacije u vladinom, telekomunikacijskom, medijskom, finansijskom i transportnom sektoru, ne samo u Francuskoj već i šire.
Ovaj napad se oslanja na lanac od tri kritične ranjivosti – CVE-2024-8190, CVE-2024-8963 i CVE-2024-9380, sve iskorištene kao nulte-dnevne prije objave zvaničnih sigurnosnih savjetovanja od strane kompanije Ivanti. Ovakvo koordinirano iskorištavanje ukazuje na napredne sposobnosti aktera napada u istraživanju ranjivosti i njihov pristup ranije nepoznatim sigurnosnim propustima.
Globalni doseg ove kampanje proteže se kroz jugoistočnu Aziju, Evropu i Sjedinjene Američke Države, s posebnim naglaskom na istraživačke institute, nevladine organizacije i entitete od strateške obavještajne vrijednosti. Analitičari CERT SSI-a su kroz sveobuhvatnu forenzičku analizu kompromitovanih francuskih infrastrukturnih sistema identifikovali Houken grupu, uočavajući operativne obrasce konzistentne s aktivnostima koje se odvijaju prema kineskom standardnom vremenu (UTC+8).
Istraga je otkrila veze između Houkena i ranije dokumentirane grupe UNC5174, sugerirajući koordinaciju od strane zajedničkog aktera prijetnje koji djeluje kao broker početnog pristupa za prikupljanje obavještajnih podataka od strane države. Hakeri pokazuju paradoksalnu kombinaciju naprednih tehnika i komercijalnih alata, koristeći nulte-dnevne eksploatacije uporedo s open-source uslužnim programima koje su primarno razvili programeri koji govore kineski. Njihova infrastruktura kombinira komercijalne VPN usluge, uključujući NordVPN i ExpressVPN, sa namjenskim serverima za komandovanje i kontrolu, što ukazuje ili na saradnju više aktera ili na namjerno raznolike prakse operativne sigurnosti.
Najzabrinjavajući aspekt Houkenovog alata je implementacija ranije neviđenog Linux rootkita koji se sastoji od dvije komponente: kernel modula (sysinitd.ko) i korisničkog izvršnog programa (sysinitd). Ovaj napredni mehanizam za održavanje upornosti preotima dolazni TCP promet preko svih portova, omogućavajući daljinsko izvršavanje naredbi s root privilegijama kroz tehniku koja zaobilazi tradicionalno mreženo praćenje. Instalacija rootkita počinje izvršavanjem web školjki kreiranih eksploatacijom ranjivosti. Na primjer, napadači koriste CVE-2024-9380 za ubrizgavanje zlonamjernog PHP koda.
Nakon uspostavljanja početnog pristupa, akteri prijetnje implementiraju komponente rootkita i uspostavljaju višestruke mehanizme za održavanje upornosti. Oni modificiraju legitimne PHP skripte dodavanjem zlonamjernog koda u datoteku `/etc/php.ini`, čime omogućavaju univerzalno izvršavanje naredbi bez obzira na pristup stranici. Modifikacija uključuje postavljanje `allow_url_include = On` i korištenje PHP eval funkcija kodiranih u base64 koje dekodiraju. Sposobnost rootkita za preotimanje TCP prometa predstavlja značajan napredak u tehnologiji održavanja upornosti, omogućavajući napadačima da održe pristup čak i kada su tradicionalni backdoor-ovi otkriveni i uklonjeni, čineći detekciju i otklanjanje izuzetno teškim za branitelje.
