Czy kiedykolwiek zastanawiałeś się, co się dzieje, gdy napastnicy dyskretnie infiltrują systemy bezpieczeństwa firm, nie będąc wykrytymi przez tygodnie? Dowiedz się, jak Cisco zareagowało na taką infiltrację, publikując krytyczną aktualizację, aby chronić swoich klientów przed hakerami związanymi z Chinami.
3 informacje, których nie można przegapić
Analitycy Cisco Talos wykryli anomalie na niektórych urządzeniach klientów, ujawniając nieznane połączenia administracyjne. Te nieautoryzowane dostępy zostały ułatwione przez błąd oprogramowania zidentyfikowany pod numerem CVE-2025-20393.
Napastnicy mogli infiltrować systemy bez podawania prawidłowych danych uwierzytelniających, instalując trwałe dostępy. Tworzyli konta, modyfikowali pliki systemowe i integrowali skrypty zdolne do przetrwania ponownych uruchomień. Ta infiltracja miała na celu ustanowienie stabilnej obecności, a nie tymczasowego włamania.
Cisco szybko zareagowało, publikując aktualizację zabezpieczeń, aby odciąć dostęp hakerom. Jednak poprawka nie usuwała już utworzonych dostępów. Firmy musiały więc sprawdzić swoje konfiguracje i przejrzeć dzienniki aktywności.
Zespoły IT często odkrywały konta lub zaplanowane zadania bez jasnego pochodzenia, co czasami wymagało całkowitej reinstalacji systemów, aby przywrócić zdrowe środowisko.
Urządzenia do przesyłania wiadomości, niezbędne w codziennym funkcjonowaniu firm, musiały być tymczasowo wyłączone do konserwacji. Wymagało to dokładnej koordynacji, aby zminimalizować wpływ na użytkowników.
Ta sytuacja uwydatniła organizacyjną słabość: niewystarczający nadzór nad urządzeniami pośrednimi, często zaniedbywanymi, gdy działają bez widocznych incydentów.
Operacje hakerskie przypisano grupie UAT-9686, znanej z dyskretnych i przedłużonych metod dostępu, już obserwowanych w innych kampaniach związanych z Chinami. Cisco oparło to przypisanie na elementach technicznych, takich jak używane metody, godziny aktywności i niektóre infrastruktury.
Ta grupa wyróżniła się zdolnością do wykorzystywania luk w oprogramowaniu, aby uzyskać nieautoryzowany dostęp do systemów docelowych, podkreślając znaczenie dla firm utrzymania stałej czujności i regularnego aktualizowania swoich systemów bezpieczeństwa.