Безопасники из Recorded Future заявили: группировка RedNovember (она же TAG-100 и Storm-2077) — китайские госхакеры. С июня прошлого года по июль текущего её участники атаковали сетевые устройства организаций практически на всех континентах, используя написанный на Go бэкдор Pantegana и широко известный инструмент Cobalt Strike.
В списке жертв хакеров отметились министерства и госведомства, оборонные структуры и спецслужбы, аэрокосмические агентства, промышленные предприятия, юридические фирмы, торговые компании и СМИ. Больше прочих пострадали США, Южная Корея, Тайвань и Панама.
Первое упоминание RedNovember появилось в ИБ-среде более года назад — когда специалисты Recorded Future зафиксировали ряд атак, проведённых с помощью Pantegana и трояна Spark RAT. Доступ злоумышленники получали через эксплуатацию известных уязвимостей в устройствах Check Point, Cisco, Citrix, F5, Fortinet, Ivanti, Palo Alto Networks и SonicWall, а цель кампании состояла в компрометации средств защиты — VPN, межсетевых экранов, балансировщиков нагрузки, почтовых и систем виртуализации. Уточняется, что подобная тактика как раз характерна для китайских агентов, стремящихся находиться в ключевых сетях длительное время.
Применение же конкретно Pantegana и Spark RAT позволяет скрывать истинное происхождение атак и осложнять атрибуцию. Также выяснилось, что хакеры использовали ExpressVPN и Warp VPN, разделяя сервера для эксплуатации уязвимых устройств и обмена данными с бэкдорами.
