4-måneders langt cyberangreb på amerikansk virksomhed afslører avanceret trussel knyttet til kinesiske hackere
Et nyligt afsløret cyberangreb har afsløret en meget sofistikeret operation rettet mod en større amerikansk organisation, med beviser, der peger på statssponsorerede hackere fra Kina. Denne alarmerende indtrængen, beskrevet i en rapport fra Broadcom-ejede Symantec, strakte sig over mindst fire måneder i år, begyndende i april og muligvis tidligere. Angrebets omfang og metoder understreger de udviklende strategier for cybermodstandere og de risici, som kritiske organisationer over hele verden står over for.
Indholdsfortegnelse
Sofistikeret taktik og værktøjer fremhæver avancerede trusler
Symantec identificerede først tegn på bruddet den 11. april 2024 og fandt ud af, at angrebet fortsatte gennem august. I løbet af denne tid bevægede angriberne sig på tværs af offerets netværk og kompromitterede adskillige maskiner. Nogle af de målrettede systemer var Microsoft Exchange-servere, et træk, der antyder, at angriberne søgte at indsamle efterretninger ved at få adgang til følsomme e-mail-data.
Eksfiltrationsværktøjer, der blev indsat under kampagnen, bekræfter yderligere, at værdifuld information blev udtrukket fra ofrets infrastruktur. Hackerne brugte en kombination af open source-værktøjer og indbyggede Windows-værktøjer for at fremme deres angreb. Værktøjer som FileZilla, Impacket og PSCP blev implementeret sammen med teknikker til at leve uden for landet, der udnyttede Windows Management Instrumentation (WMI), PsExec og PowerShell til at udføre ondsindede kommandoer og blande sig i legitim netværksaktivitet.
Kinas rolle og brugen af cyberspionageteknikker
Selvom navnet på den målrettede organisation ikke er blevet afsløret, lægger dens betydelige operationer i Kina vægt på mistanken om, at angriberne var knyttet til kinesiske statssponsorerede grupper. Cyberangrebet var stærkt afhængig af DLL-sideindlæsning, en kendetegnende taktik for kinesiske hackerhold. Artefakter fra bruddet stemmer overens med dem, der blev observeret i "Crimson Palace", en tidligere statsstøttet operation. Derudover var denne organisation tidligere i 2023 blevet målrettet af en gruppe kendt som Daggerfly, også omtalt som Bronze Highland, Evasive Panda og StormBamboo.
Bredere konsekvenser for cybersikkerhed
Dette brud afspejler bredere tendenser inden for Kinas cyberoffensive økosystem, som Orange Cyberdefense har analyseret i detaljer. Kinesiske statssponsorerede operationer udvisker ofte grænserne mellem offentlige og private enheder, udnytter universiteter til avanceret forskning og ansætter entreprenører til at udføre angreb. Falske virksomheder etableres ofte af personer, der er forbundet til kinesiske militær- eller efterretningsenheder for at skjule tilskrivning, skaffe digital infrastruktur og rekruttere hackere uden at rejse mistanke.
Disse resultater understreger den vedvarende og avancerede karakter af kinesiske cyberoperationer. Kampagnen rettet mod dette amerikanske firma tjener som en skarp påmindelse om det udviklende trussellandskab og vigtigheden af robuste cybersikkerhedsforsvar for at beskytte kritiske aktiver fra nationalstatsfjender.