Četveromjesečni kibernetički napad na američku tvrtku razotkrio naprednu prijetnju povezanu s kineskim hakerima
Nedavno razotkriven kibernetički napad iznio je na vidjelo vrlo sofisticiranu operaciju usmjerenu na veliku američku organizaciju, s dokazima koji upućuju na državno sponzorirane hakere iz Kine. Ovaj alarmantni upad, detaljno opisan u izvješću Symanteca u vlasništvu Broadcoma, trajao je najmanje četiri mjeseca ove godine, počevši od travnja, a potencijalno i ranije. Opseg i metode napada naglašavaju razvojne strategije kibernetičkih protivnika i rizike s kojima se kritične organizacije širom svijeta suočavaju.
Sadržaj
Sofisticirane taktike i alati ističu napredne prijetnje
Symantec je prvi put identificirao znakove proboja 11. travnja 2024. i otkrio da je napad trajao do kolovoza. Tijekom tog vremena, napadači su se kretali bočno preko mreže žrtve, kompromitirajući brojne strojeve. Neki od ciljanih sustava bili su Microsoft Exchange Serveri, što sugerira da su napadači htjeli prikupiti obavještajne podatke pristupom osjetljivim podacima e-pošte.
Alati za eksfiltraciju primijenjeni tijekom kampanje dodatno potvrđuju da su vrijedne informacije izvučene iz infrastrukture žrtve. Hakeri su upotrijebili kombinaciju alata otvorenog koda i ugrađenih uslužnih programa za Windows kako bi unaprijedili svoj napad. Alati kao što su FileZilla, Impacket i PSCP postavljeni su zajedno s tehnikama života izvan zemlje, koristeći Windows Management Instrumentation (WMI), PsExec i PowerShell za izvršavanje zlonamjernih naredbi i uklapanje u legitimne mrežne aktivnosti.
Uloga Kine i korištenje tehnika kibernetičke špijunaže
Iako ime ciljane organizacije nije objavljeno, njezine značajne operacije u Kini dodaju težinu sumnjama da su napadači bili povezani sa skupinama koje sponzorira kineska država. Cybernapad se uvelike oslanjao na bočno učitavanje DLL-a, karakterističnu taktiku kineskih hakerskih timova. Artefakti iz proboja slažu se s onima uočenim u "Crimson Palace", prethodnoj operaciji koju je poduprla država. Osim toga, ova je organizacija ranije 2023. godine bila na meti grupe poznate kao Daggerfly, koja se također naziva Bronze Highland, Evasive Panda i StormBamboo.
Šire implikacije za kibernetičku sigurnost
Ovo kršenje odražava šire trendove unutar kineskog ekosustava kibernetičke ofenzive, koje je Orange Cyberdefense detaljno analizirao. Operacije koje sponzorira kineska država često brišu granice između javnih i privatnih subjekata, koristeći sveučilišta za napredna istraživanja i zapošljavajući izvođače za izvođenje napada. Lažne tvrtke često osnivaju pojedinci povezani s kineskim vojnim ili obavještajnim jedinicama kako bi prikrili atribuciju, nabavili digitalnu infrastrukturu i regrutirali hakere bez izazivanja sumnje.
Ovi nalazi naglašavaju postojanu i naprednu prirodu kineskih cyber operacija. Kampanja usmjerena na ovu američku tvrtku služi kao snažan podsjetnik na razvoj prijetnji i važnost snažne obrane kibernetičke sigurnosti za zaštitu kritične imovine od neprijatelja iz nacionalne države.