4 mėnesius trukusi kibernetinė ataka JAV įmonei atskleidžia didelę grėsmę, susijusią su Kinijos įsilaužėliais
Neseniai atskleista kibernetinė ataka atskleidė labai sudėtingą operaciją, nukreiptą prieš didelę JAV organizaciją, ir įrodymų, kad yra valstybės remiami įsilaužėliai iš Kinijos. Šis nerimą keliantis įsibrovimas, išsamiai aprašytas Broadcom priklausančios Symantec ataskaitoje, šiemet truko mažiausiai keturis mėnesius, pradedant balandžio mėn. ir galbūt anksčiau. Atakos apimtis ir metodai pabrėžia besikeičiančias kibernetinių priešų strategijas ir riziką, su kuria susiduria kritinės organizacijos visame pasaulyje.
Turinys
Sudėtinga taktika ir įrankiai Pabrėžkite sudėtingas grėsmes
„Symantec“ pažeidimo požymius pirmą kartą nustatė 2024 m. balandžio 11 d. ir nustatė, kad ataka tęsėsi iki rugpjūčio mėn. Per tą laiką užpuolikai judėjo į šoną per aukos tinklą, sugadindami daugybę mašinų. Kai kurios taikytos sistemos buvo Microsoft Exchange serveriai, o tai rodo, kad užpuolikai siekė rinkti žvalgybos informaciją, pasiekdami slaptus el. pašto duomenis.
Kampanijos metu panaudoti išfiltravimo įrankiai dar labiau patvirtina, kad vertinga informacija buvo išgauta iš aukos infrastruktūros. Įsilaužėliai panaudojo atvirojo kodo įrankių ir įmontuotų „Windows“ paslaugų derinį, kad tęstų savo ataką. Įrankiai, tokie kaip „FileZilla“, „Impacket“ ir PSCP, buvo naudojami kartu su „gyvenimo ne žeme“ metodais, naudojant „Windows Management Instrumentation“ (WMI), „PsExec“ ir „PowerShell“, kad būtų vykdomos kenkėjiškos komandos ir įsiliejama į teisėtą tinklo veiklą.
Kinijos vaidmuo ir kibernetinio šnipinėjimo metodų naudojimas
Nors organizacijos, į kurią kreipiamasi, pavadinimas neskelbiamas, reikšmingos jos operacijos Kinijoje sustiprina įtarimus, kad užpuolikai buvo susiję su Kinijos valstybės remiamomis grupuotėmis. Kibernetinė ataka labai rėmėsi DLL šoniniu įkėlimu – būdinga Kinijos įsilaužimo komandų taktika. Pažeidimo artefaktai atitinka tuos, kurie buvo pastebėti „Crimson Palace“ – ankstesnėje valstybės remiamoje operacijoje. Be to, į šią organizaciją anksčiau 2023 m. nusitaikė grupė, žinoma kaip „Daggerfly“, dar vadinama „Bronze Highland“, „Evasive Panda“ ir „StormBamboo“.
Platesnės pasekmės kibernetiniam saugumui
Šis pažeidimas atspindi platesnes Kinijos kibernetinės puolimo ekosistemos tendencijas, kurias „Orange Cyberdefense“ išsamiai išanalizavo. Kinijos valstybės remiamos operacijos dažnai ištrina ribas tarp viešųjų ir privačių subjektų, pasitelkdamos universitetus pažangiems tyrimams ir samdydami rangovus atakoms vykdyti. Su Kinijos kariniais ar žvalgybos padaliniais susiję asmenys dažnai steigia netikras įmones, kad nuslėptų priskyrimą, įsigytų skaitmeninę infrastruktūrą ir verbuotų įsilaužėlius, nesukeldami įtarimo.
Šios išvados pabrėžia nuolatinį ir pažangų Kinijos kibernetinių operacijų pobūdį. Šiai JAV įmonei skirta kampanija yra ryškus priminimas apie besikeičiančią grėsmių aplinką ir tvirtos kibernetinio saugumo gynybos svarbą, siekiant apsaugoti svarbiausią turtą nuo nacionalinių valstybių priešų.