4-kuuline küberrünnak USA ettevõttele paljastab Hiina häkkeritega seotud kõrgetasemelise ohu
Hiljuti paljastatud küberrünnak tõi päevavalgele ülimalt keeruka operatsiooni, mis on suunatud USA suurorganisatsioonile, kusjuures tõendid viitavad Hiinast pärit riiklikult toetatud häkkeritele. See murettekitav sissetung, mida kirjeldatakse Broadcomile kuuluva Symanteci aruandes, kestis sel aastal vähemalt neli kuud, alates aprillist ja potentsiaalselt varem. Rünnaku ulatus ja meetodid rõhutavad kübervastaste arenevaid strateegiaid ja riske, millega kriitilised organisatsioonid kogu maailmas kokku puutuvad.
Sisukord
Keerulised taktikad ja tööriistad Tõstke esile arenenud ohud
Symantec tuvastas rikkumise märgid esmakordselt 11. aprillil 2024 ja leidis, et rünnak püsis kuni augustini. Selle aja jooksul liikusid ründajad külgsuunas üle ohvri võrgu, ohustades paljusid masinaid. Mõned sihitud süsteemid olid Microsoft Exchange Serverid, mis viitab sellele, et ründajad püüdsid tundlikele meiliandmetele juurdepääsu kaudu luureandmeid koguda.
Kampaania käigus kasutusele võetud eksfiltreerimisvahendid kinnitavad veelgi, et ohvri infrastruktuurist saadi väärtuslikku teavet. Häkkerid kasutasid oma rünnaku edendamiseks avatud lähtekoodiga tööriistade ja sisseehitatud Windowsi utiliitide kombinatsiooni. Tööriistad, nagu FileZilla, Impacket ja PSCP, võeti kasutusele kõrvuti maavälise eluviisiga, kasutades Windowsi haldusinstrumente (WMI), PsExeci ja PowerShelli, et täita pahatahtlikke käske ja sulanduda legitiimse võrgutegevusega.
Hiina roll ja küberspionaažitehnika kasutamine
Kuigi sihtorganisatsiooni nime pole avalikustatud, lisab selle märkimisväärne tegevus Hiinas kaalu kahtlustele, et ründajad olid seotud Hiina riiklikult toetatud rühmitustega. Küberrünnak põhines suuresti DLL-i külglaadimisel, mis on Hiina häkkimismeeskondade iseloomulik taktika. Rikkumisest tekkinud artefaktid ühtivad varasema riigi toetatud operatsiooniga "Crimson Palace". Lisaks oli see organisatsioon varem 2023. aastal sihikule võtnud rühmitus nimega Daggerfly, mida nimetatakse ka Bronze Highlandiks, Evasive Pandaks ja StormBambooks.
Laiemad tagajärjed küberturvalisusele
See rikkumine peegeldab Hiina küberründeökosüsteemi laiemaid suundumusi, mida Orange Cyberdefense on üksikasjalikult analüüsinud. Hiina riiklikult rahastatud operatsioonid hägustavad sageli piire avalik-õiguslike ja eraettevõtete vahel, võimendades ülikoole kõrgtasemel teadusuuringuteks ja palkades rünnakute läbiviimiseks töövõtjaid. Sageli asutavad võltsettevõtteid Hiina sõjaväe- või luureüksustega seotud isikud, et varjata omistamist, hankida digitaalset infrastruktuuri ja värvata häkkereid ilma kahtlust tekitamata.
Need leiud rõhutavad Hiina küberoperatsioonide püsivat ja arenenud olemust. Sellele USA ettevõttele suunatud kampaania on terav meeldetuletus arenevast ohumaastikust ja tugeva küberjulgeoleku kaitse olulisusest, et kaitsta kriitilisi varasid rahvusriikide vastaste eest.