Napredna grupa kineskih hakera, poznata kao Houken, uspješno iskorištava više zero-day ranjivosti u uređajima Ivanti Cloud Service Appliance (CSA) kako bi instalirala sofisticirane Linux rootkitove i uspostavila trajni pristup u kritičnim infrastrukturnim mrežama. Kampanja koja je započela u septembru 2024. godine kompromitovala je organizacije u vladinom, telekomunikacionom, medijskom, finansijskom i transportnom sektoru, ne samo u Francuskoj, već i šire.
Ovaj napad se oslanja na lanac od tri kritične ranjivosti – CVE-2024-8190, CVE-2024-8963 i CVE-2024-9380, sve iskorištene kao zero-day ranjivosti prije objave zvaničnih bezbjednosnih savjeta od strane kompanije Ivanti. Ovakvo koordinisano iskorištavanje ukazuje na napredne sposobnosti hakera u istraživanju ranjivosti i njihov pristup ranije nepoznatim bezbjednosnim propustima.
Globalni doseg ove kampanje proteže se kroz jugoistočnu Aziju, Evropu i Sjedinjene Američke Države, s posebnim naglaskom na istraživačke institute, nevladine organizacije i entitete od strateške obavještajne važnosti. Analitičari CERT SSI-a kroz sveobuhvatnu forenzičku analizu kompromitovanih francuskih infrastrukturnih sistema identifikovali su Houken grupu, uočavajući operativne obrasce koji su u skladu sa aktivnostima u vremenskoj zoni kineskog standardnog vremena (UTC+8).
Istraga je otkrila veze između Houkena i ranije dokumentovane grupe UNC5174, sugerišući koordinaciju od strane zajedničkog hakera je koji djeluje kao broker početnog pristupa za prikupljanje obavještajnih podataka u korist države. Hakeri pokazuju paradoksalnu kombinaciju naprednih tehnika i komercijalnih alata, koristeći zero-day eksploatacije paralelno sa open-source uslužnim programima koje su primarno razvili programeri koji govore kineski. Njihova infrastruktura kombinuje komercijalne VPN usluge, uključujući NordVPN i ExpressVPN, sa namjenskim serverima za komandovanje i kontrolu, što ukazuje ili na saradnju više hakera ili na namjerno raznolike prakse operativne bezbjednosti.
Najzabrinjavajući aspekt Houkenovog alata jeste implementacija ranije neviđenog Linux rootkita koji se sastoji od dvije komponente: kernel modula (sysinitd.ko) i korisničkog izvršnog programa (sysinitd). Ovaj napredni mehanizam za održavanje upornosti preotima dolazni TCP promet preko svih portova, omogućavajući daljinsko izvršavanje naredbi sa root privilegijama kroz tehniku koja zaobilazi tradicionalno mrežno praćenje. Instalacija rootkita počinje izvršavanjem web školjki kreiranih eksploatacijom ranjivosti. Na primjer, napadači koriste CVE-2024-9380 za ubrizgavanje malicioznog PHP koda.
Nakon uspostavljanja početnog pristupa, hakeri implementiraju komponente rootkita i uspostavljaju višestruke mehanizme za održavanje upornosti. Oni modificiraju legitimne PHP skripte dodavanjem malicioznog koda u datoteku /etc/php.ini, čime omogućavaju univerzalno izvršavanje naredbi bez obzira na pristup stranici. Modifikacija uključuje postavljanje allow_url_include = On i korištenje PHP eval funkcija kodiranih u base64 koje se dekodiraju. Sposobnost rootkita za preotimanje TCP prometa predstavlja značajan napredak u tehnologiji održavanja upornosti, omogućavajući napadačima da održe pristup čak i kada su tradicionalni backdoorovi otkriveni i uklonjeni, čineći detekciju i uklanjanje izuzetno teškim za branioce.
