4 kuukautta kestävä kyberhyökkäys yhdysvaltalaiseen yritykseen paljastaa kiinalaisiin hakkereihin liittyvän edistyneen uhan
Äskettäin paljastettu kyberhyökkäys on tuonut esiin erittäin kehittyneen operaation, joka kohdistuu suureen yhdysvaltalaiseen organisaatioon, ja todisteet viittaavat valtion tukemiin kiinalaishakkereihin. Tämä Broadcomin omistaman Symantecin raportissa kuvattu hälyttävä tunkeutuminen kesti ainakin neljä kuukautta tänä vuonna, huhtikuusta alkaen ja mahdollisesti aiemminkin. Hyökkäyksen laajuus ja menetelmät korostavat kybervastustajien kehittyviä strategioita ja kriittisten organisaatioiden maailmanlaajuisia riskejä.
Sisällysluettelo
Kehittyneet taktiikat ja työkalut korostavat edistyneitä uhkia
Symantec havaitsi ensimmäisen kerran merkkejä rikkomuksesta 11. huhtikuuta 2024 ja havaitsi, että hyökkäys jatkui elokuun ajan. Tänä aikana hyökkääjät liikkuivat sivusuunnassa uhrin verkon yli vaarantaen useita koneita. Jotkut kohteena olevista järjestelmistä olivat Microsoft Exchange -palvelimia, mikä viittaa siihen, että hyökkääjät yrittivät kerätä tietoja käyttämällä arkaluonteisia sähköpostitietoja.
Kampanjan aikana käytetyt suodatustyökalut vahvistavat edelleen, että arvokasta tietoa poimittiin uhrin infrastruktuurista. Hakkerit käyttivät yhdistelmää avoimen lähdekoodin työkaluja ja sisäänrakennettuja Windows-apuohjelmia edistääkseen hyökkäystään. FileZillan, Impacketin ja PSCP:n kaltaisia työkaluja otettiin käyttöön ulkomailla asuvien tekniikoiden rinnalla, ja niissä hyödynnettiin Windows Management Instrumentation (WMI), PsExec ja PowerShell suorittamaan haitallisia komentoja ja sulautumaan lailliseen verkkotoimintaan.
Kiinan rooli ja kybervakoilutekniikoiden käyttö
Vaikka kohteena olevan organisaation nimeä ei julkistettu, sen merkittävä toiminta Kiinassa lisää painoarvoa epäilyille, että hyökkääjät liittyivät Kiinan valtion tukemiin ryhmiin. Kyberhyökkäys perustui vahvasti DLL-sivulataukseen, joka on kiinalaisten hakkerointitiimien tunnusomaista taktiikkaa. Rikkomuksesta peräisin olevat esineet vastaavat "Crimson Palacessa", aiemmassa valtion tukemassa operaatiossa, havaittuja esineitä. Lisäksi tämän organisaation kohteena oli aiemmin vuonna 2023 ryhmä, joka tunnetaan nimellä Daggerfly, joka tunnetaan myös nimellä Bronze Highland, Evasive Panda ja StormBamboo.
Laajemmat vaikutukset kyberturvallisuuteen
Tämä rikkomus heijastaa laajempia suuntauksia Kiinan kyberhyökkäysekosysteemissä, jota Orange Cyberdefense on analysoinut yksityiskohtaisesti. Kiinan valtion tukemat operaatiot hämärtävät usein julkisten ja yksityisten toimijoiden välisiä rajoja, hyödyntäen korkeakouluja edistyneeseen tutkimukseen ja palkkaamalla urakoitsijoita hyökkäysten toteuttamiseen. Kiinan armeija- tai tiedusteluyksiköihin yhteydessä olevat henkilöt perustavat usein väärennettyjä yrityksiä peittääkseen tekijän nimen, hankkiakseen digitaalisen infrastruktuurin ja värvätakseen hakkereita ilman epäilyksiä.
Nämä havainnot korostavat Kiinan kyberoperaatioiden pitkäjänteistä ja edistyksellistä luonnetta. Tälle yhdysvaltalaiselle yritykselle suunnattu kampanja on jyrkkä muistutus kehittyvästä uhkakuvasta ja vankan kyberturvallisuuden tärkeydestä kriittisten omaisuuserien suojelemisessa kansallisvaltioiden vastustajilta.