Čtyřměsíční kybernetický útok na americkou firmu odhalil pokročilou hrozbu spojenou s čínskými hackery
Nedávno odhalený kybernetický útok vynesl na světlo vysoce sofistikovanou operaci zaměřenou na významnou americkou organizaci, přičemž důkazy ukazují na státem podporované hackery z Číny. Toto alarmující narušení, podrobně popsané ve zprávě společnosti Symantec vlastněné společností Broadcom, trvalo nejméně čtyři měsíce letošního roku, počínaje dubnem a potenciálně dříve. Rozsah a metody útoku podtrhují vyvíjející se strategie kybernetických protivníků a rizika, kterým čelí kritické organizace po celém světě.
Obsah
Sofistikované taktiky a nástroje zvýrazňují pokročilé hrozby
Symantec poprvé identifikoval známky narušení 11. dubna 2024 a zjistil, že útok přetrvával až do srpna. Během této doby se útočníci pohybovali laterálně přes síť oběti a ohrozili řadu strojů. Některé z cílových systémů byly servery Microsoft Exchange, což naznačuje, že útočníci se snažili získat informace pomocí přístupu k citlivým e-mailovým datům.
Exfiltrační nástroje nasazené během kampaně dále potvrzují, že z infrastruktury oběti byly získány cenné informace. Hackeři použili kombinaci nástrojů s otevřeným zdrojovým kódem a vestavěných nástrojů Windows, aby podpořili svůj útok. Nástroje jako FileZilla, Impacket a PSCP byly nasazeny spolu s technikami žijícími mimo zemi, využívající Windows Management Instrumentation (WMI), PsExec a PowerShell k provádění škodlivých příkazů a začlenění do legitimní síťové aktivity.
Role Číny a využití technik kybernetické špionáže
Ačkoli jméno cílové organizace nebylo zveřejněno, její významné operace v Číně přidávají váhu podezření, že útočníci byli napojeni na skupiny podporované čínským státem. Kybernetický útok se do značné míry spoléhal na boční načítání DLL, což je charakteristická taktika čínských hackerských týmů. Artefakty z průlomu se shodují s těmi, které byly pozorovány v "Crimson Palace", předchozí státem podporované operaci. Kromě toho byla tato organizace již dříve v roce 2023 terčem skupiny známé jako Daggerfly, také označované jako Bronze Highland, Evasive Panda a StormBamboo.
Širší důsledky pro kybernetickou bezpečnost
Toto porušení odráží širší trendy v rámci čínského kybernetického útočného ekosystému, který Orange Cyberdefense podrobně analyzovala. Čínské státem podporované operace často stírají hranice mezi veřejnými a soukromými subjekty, využívají univerzity pro pokročilý výzkum a zaměstnávají dodavatele k provádění útoků. Falešné společnosti jsou často zakládány jednotlivci napojenými na čínské vojenské nebo zpravodajské jednotky, aby zakryli atribuci, obstarali digitální infrastrukturu a najímali hackery, aniž by vzbudili podezření.
Tato zjištění zdůrazňují trvalou a pokročilou povahu čínských kybernetických operací. Kampaň zaměřená na tuto americkou firmu slouží jako ostrá připomínka vyvíjejícího se prostředí hrozeb a důležitosti robustní kybernetické ochrany pro ochranu kritického majetku před protivníky národních států.