Работают с 12:00 до 18:00 и очень любят Java. Портрет хакеров, которые обошли защиту Cisco
NewsMakerХакеры Interlock полтора месяца хозяйничали в сетях Cisco, пока мир ничего не подозревал.
Группировка Interlock успела воспользоваться критической уязвимостью в сетевых экранах Cisco ещё до того, как о ней узнал весь мир. Атака началась почти за полтора месяца до публичного раскрытия проблемы, и за это время злоумышленники получили серьёзное преимущество.
Подразделение Amazon по анализу угроз обнаружило активную кампанию вымогателей, связанную с уязвимостью CVE-2026-20131 в системе управления Cisco Secure Firewall Management Center. Ошибка позволяет удалённо выполнять произвольный Java-код с максимальными правами без авторизации. Cisco раскрыла проблему 4 марта 2026 года, однако Interlock начала использовать уязвимость ещё 26 января. Фактически речь идёт о «нулевом дне», когда атаки происходят до выхода исправлений.
Во время изучения уязвимости специалисты задействовали сеть приманок Amazon MadPot. Система показала, что злоумышленники отправляли специальные HTTP-запросы с попытками выполнить Java-код и ссылками на внешние серверы. Одна ссылка помогала подготовить атаку, другая проверяла, удалось ли взломать цель.
Чтобы понять дальнейшие действия Interlock , специалисты имитировали заражённую систему. После этого атакующие перешли к следующему этапу и попытались загрузить вредоносный исполняемый файл для Linux. Анализ показал, что тот же сервер использовался для хранения всего набора инструментов группировки.
Группировка Interlock успела воспользоваться критической уязвимостью в сетевых экранах Cisco ещё до того, как о ней узнал весь мир. Атака началась почти за полтора месяца до публичного раскрытия проблемы, и за это время злоумышленники получили серьёзное преимущество.
Подразделение Amazon по анализу угроз обнаружило активную кампанию вымогателей, связанную с уязвимостью CVE-2026-20131 в системе управления Cisco Secure Firewall Management Center. Ошибка позволяет удалённо выполнять произвольный Java-код с максимальными правами без авторизации. Cisco раскрыла проблему 4 марта 2026 года, однако Interlock начала использовать уязвимость ещё 26 января. Фактически речь идёт о «нулевом дне», когда атаки происходят до выхода исправлений.
Во время изучения уязвимости специалисты задействовали сеть приманок Amazon MadPot. Система показала, что злоумышленники отправляли специальные HTTP-запросы с попытками выполнить Java-код и ссылками на внешние серверы. Одна ссылка помогала подготовить атаку, другая проверяла, удалось ли взломать цель.
Чтобы понять дальнейшие действия Interlock , специалисты имитировали заражённую систему. После этого атакующие перешли к следующему этапу и попытались загрузить вредоносный исполняемый файл для Linux. Анализ показал, что тот же сервер использовался для хранения всего набора инструментов группировки.