4-месечна кибератака срещу американска фирма разкрива напреднала заплаха, свързана с китайски хакери
Наскоро разкрита кибератака извади наяве изключително сложна операция, насочена към голяма американска организация, с доказателства, сочещи към спонсорирани от държавата хакери от Китай. Това тревожно проникване, описано подробно в доклад на Symantec, собственост на Broadcom, обхваща най-малко четири месеца тази година, започвайки през април и потенциално по-рано. Обхватът и методите на атаката подчертават развиващите се стратегии на кибернетични противници и рисковете, пред които са изправени критичните организации по целия свят.
Съдържание
Сложните тактики и инструменти подчертават напредналите заплахи
Symantec за първи път идентифицира признаци на пробив на 11 април 2024 г. и установи, че атаката е продължила през август. През това време нападателите се движеха странично през мрежата на жертвата, компрометирайки множество машини. Някои от целевите системи бяха сървъри на Microsoft Exchange, ход, който предполага, че нападателите са искали да съберат разузнавателна информация чрез достъп до чувствителни имейл данни.
Инструментите за ексфилтриране, използвани по време на кампанията, допълнително потвърждават, че е извлечена ценна информация от инфраструктурата на жертвата. Хакерите са използвали комбинация от инструменти с отворен код и вградени помощни програми на Windows, за да продължат атаката си. Инструменти като FileZilla, Impacket и PSCP бяха внедрени заедно с техниките за живеене извън земята, използвайки Windows Management Instrumentation (WMI), PsExec и PowerShell за изпълнение на злонамерени команди и сливане с легитимна мрежова дейност.
Ролята на Китай и използването на техники за кибершпионаж
Въпреки че името на набелязаната организация не е разкрито, значителните й операции в Китай добавят тежест към подозренията, че нападателите са били свързани с китайски държавно спонсорирани групи. Кибератаката разчиташе до голяма степен на страничното зареждане на DLL, отличителна тактика на китайските хакерски екипи. Артефактите от пробива съвпадат с тези, наблюдавани в "Crimson Palace", предишна операция, подкрепяна от държавата. Освен това тази организация е била насочена преди това през 2023 г. от група, известна като Daggerfly, наричана още Bronze Highland, Evasive Panda и StormBamboo.
По-широки последици за киберсигурността
Това нарушение отразява по-широки тенденции в китайската екосистема за кибернетична офанзива, която Orange Cyberdefense е анализирала подробно. Спонсорираните от китайската държава операции често размиват границите между публични и частни субекти, като използват университети за напреднали изследвания и наемат изпълнители за извършване на атаки. Фалшивите компании често се създават от лица, свързани с китайски военни или разузнавателни звена, за да скрият авторството, да осигурят цифрова инфраструктура и да наемат хакери, без да предизвикват подозрение.
Тези констатации подчертават упорития и напреднал характер на китайските кибер операции. Кампанията, насочена към тази американска фирма, служи като рязко напомняне за развиващия се пейзаж на заплахите и значението на стабилната защита на киберсигурността за защита на критични активи от противници на националната държава.