4 hónapig tartó kibertámadás amerikai cég ellen kínai hackerekkel kapcsolatos fenyegetést tár fel
Egy nemrégiben feltárt kibertámadás egy rendkívül kifinomult műveletre derített fényt, amely egy nagy amerikai szervezetet céloz meg, és a bizonyítékok államilag támogatott kínai hackerekre utalnak. Ez a riasztó behatolás, amelyet a Broadcom tulajdonában lévő Symantec részletezett, az idén legalább négy hónapig tartott, áprilistól kezdve, és valószínűleg korábban is. A támadás hatóköre és módszerei rávilágítanak a kiberellenfelek fejlődő stratégiáira és a kritikus szervezetekre világszerte jellemző kockázatokra.
Tartalomjegyzék
Kifinomult taktikák és eszközök kiemelik a fejlett fenyegetéseket
A Symantec először 2024. április 11-én azonosította a jogsértés jeleit, és megállapította, hogy a támadás augusztusig is fennállt. Ezalatt a támadók oldalirányban mozogtak az áldozat hálózatán, és számos gépet veszélyeztettek. A megcélzott rendszerek egy része Microsoft Exchange Server volt, ami azt sugallja, hogy a támadók érzékeny e-mail adatokhoz való hozzáféréssel igyekeztek intelligens információkat gyűjteni.
A kampány során bevetett kiszűrési eszközök tovább erősítik, hogy értékes információkat vontak ki az áldozat infrastruktúrájából. A hackerek nyílt forráskódú eszközök és beépített Windows-segédprogramok kombinációját alkalmazták támadásuk elősegítésére. Az olyan eszközöket, mint a FileZilla, az Impacket és a PSCP a földönkívüli technikák mellett telepítették, kihasználva a Windows Management Instrumentation (WMI), a PsExec és a PowerShell alkalmazását, hogy rosszindulatú parancsokat hajtsanak végre, és beleolvadjanak a legitim hálózati tevékenységbe.
Kína szerepe és a kiberkémkedési technikák alkalmazása
Bár a megcélzott szervezet nevét nem hozták nyilvánosságra, jelentős kínai tevékenységei tovább növelik a gyanút, hogy a támadók kapcsolatban állnak kínai államilag támogatott csoportokkal. A kibertámadás nagymértékben a DLL oldalsó betöltésén alapult, ami a kínai hackercsapatok jellegzetes taktikája. A jogsértésből származó leletek megegyeznek a "Bíbor Palotában", egy korábbi, államilag támogatott műveletben megfigyeltekkel. Ezenkívül ezt a szervezetet korábban, 2023-ban a Daggerfly néven ismert csoport, más néven Bronze Highland, Evasive Panda és StormBamboo vette célba.
A kiberbiztonság szélesebb körű következményei
Ez a jogsértés a kínai kibertámadási ökoszisztémán belüli szélesebb tendenciákat tükrözi, amelyeket az Orange Cyberdefense részletesen elemzett. A kínai államilag támogatott műveletek gyakran elmossák a határvonalat az állami és a magánszervezetek között, kihasználva az egyetemeket a fejlett kutatásra, és alvállalkozókat alkalmazva a támadások végrehajtására. Hamis cégeket gyakran hoznak létre kínai katonai vagy hírszerző egységekkel kapcsolatban álló egyének, hogy eltitkolják a forrásmegjelölést, digitális infrastruktúrát szerezzenek, és hackereket toborozzanak gyanú nélkül.
Ezek az eredmények hangsúlyozzák a kínai kiberműveletek tartós és fejlett természetét. Az ezt az amerikai céget megcélzó kampány éles emlékeztetőül szolgál a fejlődő fenyegetési környezetre és a robusztus kiberbiztonsági védelem fontosságára, amely megvédi a kritikus eszközöket a nemzetállamok ellenfeleitől.