حمله سایبری 4 ماهه به شرکت آمریکایی تهدید پیشرفته مرتبط با هکرهای چینی را افشا کرد

یک حمله سایبری که اخیراً کشف شده است، عملیات بسیار پیچیده ای را که یک سازمان بزرگ آمریکایی را هدف قرار داده است، با شواهد نشان می دهد که هکرهای دولتی چینی را هدف قرار داده است. این نفوذ نگران‌کننده که در گزارشی توسط سیمانتک متعلق به برادکام به تفصیل شرح داده شده است، حداقل چهار ماه در سال جاری، از آوریل و احتمالاً زودتر از آن آغاز شده است. دامنه و روش‌های حمله بر استراتژی‌های در حال تحول دشمنان سایبری و خطراتی که سازمان‌های حیاتی در سراسر جهان با آن‌ها مواجه هستند، تأکید می‌کند.

تاکتیک ها و ابزارهای پیچیده تهدیدهای پیشرفته را برجسته می کنند

سیمانتک برای اولین بار در 11 آوریل 2024 نشانه های نقض را شناسایی کرد و دریافت که این حمله تا ماه اوت ادامه داشته است. در طول این مدت، مهاجمان به صورت جانبی در سراسر شبکه قربانی حرکت کردند و ماشین‌های متعددی را به خطر انداختند. برخی از سیستم‌های هدف مایکروسافت اکسچنج سرور بودند، حرکتی که نشان می‌دهد مهاجمان به دنبال جمع‌آوری اطلاعات با دسترسی به داده‌های ایمیل حساس بودند.

ابزارهای نفوذی که در طول کمپین به کار گرفته شد، بیشتر تأیید می کند که اطلاعات ارزشمندی از زیرساخت قربانی استخراج شده است. هکرها از ترکیبی از ابزارهای منبع باز و ابزارهای داخلی ویندوز برای ادامه حمله خود استفاده کردند. ابزارهایی مانند FileZilla، Impacket و PSCP در کنار تکنیک‌های زندگی خارج از زمین، استفاده از ابزار مدیریت ویندوز (WMI)، PsExec و PowerShell برای اجرای دستورات مخرب و ادغام در فعالیت‌های شبکه قانونی به کار گرفته شدند.

نقش چین و استفاده از تکنیک های جاسوسی سایبری

اگرچه نام سازمان مورد نظر فاش نشده است، اما عملیات مهم آن در چین بر این ظن می افزاید که مهاجمان با گروه های تحت حمایت دولت چین مرتبط بوده اند. این حمله سایبری به شدت به بارگذاری جانبی DLL متکی بود، تاکتیک مشخص تیم های هک چینی. مصنوعات به دست آمده از این رخنه با موارد مشاهده شده در «کاخ زرشکی»، یک عملیات پیشین تحت حمایت دولت، هماهنگ است. علاوه بر این، این سازمان قبلاً در سال 2023 توسط گروهی موسوم به Daggerfly که با نام‌های Bronze Highland، Evasive Panda و StormBamboo نیز شناخته می‌شود، هدف قرار گرفته بود.

پیامدهای گسترده تر برای امنیت سایبری

این نقض روندهای گسترده تری را در اکوسیستم تهاجمی سایبری چین منعکس می کند که Orange Cyberdefense به تفصیل آن را تحلیل کرده است. عملیات تحت حمایت دولت چین اغلب خطوط بین نهادهای دولتی و خصوصی را محو می کند، از دانشگاه ها برای تحقیقات پیشرفته استفاده می کند و از پیمانکاران برای اجرای حملات استفاده می کند. شرکت‌های جعلی اغلب توسط افراد مرتبط با ارتش یا واحدهای اطلاعاتی چین ایجاد می‌شوند تا اسناد نامشخص را تهیه کنند، زیرساخت‌های دیجیتالی تهیه کنند و هکرها را بدون ایجاد سوء ظن جذب کنند.

این یافته‌ها بر ماهیت مداوم و پیشرفته عملیات سایبری چین تأکید می‌کند. کمپینی که این شرکت آمریکایی را هدف قرار می دهد به عنوان یادآوری آشکار از چشم انداز تهدید در حال تحول و اهمیت دفاع قوی امنیت سایبری برای محافظت از دارایی های حیاتی در برابر دشمنان دولت-ملت است.