Китайские хакеры копали тихо — и докопались: как Fire Ant пробирается в закрытые сети

С начала года корпоративные сети по всему миру подвергаются атакам, которые больше похожи на методичное проникновение, чем на взлом. Группа хакеров, связанная с Китаем, использует старую уязвимость в VMware vCenter, о которой известно с 2023 года, но которую многие компании так и не закрыли. Специалисты Sygnia, расследующие кампанию "Fire Ant", отмечают: злоумышленники действуют настолько незаметно, что некоторые жертвы узнают о взломе лишь спустя месяцы.

Как хакеры обходят "непреодолимую" защиту

Обычно корпоративные сети сегментированы — критически важные данные хранятся в изолированных зонах, куда невозможно попасть извне. Однако "Fire Ant" нашла лазейку. Вместо грубого взлома хакеры используют цепочку мелких уязвимостей, постепенно продвигаясь вглубь системы. Эксперты сравнивают это с тем, как муравьи проникают в дом: не через дверь, а через микротрещины в стене.

Почему компании до сих пор не защитились

Уязвимость CVE-2023-34 048 была обнаружена почти два года назад, но многие организации откладывали обновление, опасаясь сбоев в работе. Теперь это решение аукнулось: хакеры не просто крадут данные, но и остаются внутри систем, маскируясь под легитимных пользователей. По словам аналитиков, некоторые атаки длятся так долго, что злоумышленники успевают изучить внутренние процессы компаний и адаптироваться под их защитные механизмы.

Что делать, если вы в зоне риска

Специалисты рекомендуют немедленно проверить все виртуальные среды VMware на наличие незакрытых уязвимостей. Но даже это — лишь первый шаг. "Fire Ant" доказала: традиционные методы защиты уже не работают. Теперь безопасность зависит не только от своевременных обновлений, но и от постоянного мониторинга сетевой активности. Потому что хакеры больше не ломают двери — они тихо ждут, пока кто-нибудь забудет их закрыть.