4 mēnešus ilgs kiberuzbrukums ASV uzņēmumam atklāj nopietnus draudus, kas saistīti ar Ķīnas hakeriem
Nesen atklāts kiberuzbrukums ir atklājis ļoti sarežģītu operāciju, kuras mērķis ir liela ASV organizācija, un pierādījumi liecina par valsts sponsorētiem hakeriem no Ķīnas. Šī satraucošā ielaušanās, kas detalizēti aprakstīta Broadcom piederošā Symantec ziņojumā, šogad aptvēra vismaz četrus mēnešus, sākot no aprīļa un, iespējams, arī agrāk. Uzbrukuma apjoms un metodes uzsver kiberpretinieku stratēģiju attīstību un riskus, ar kuriem saskaras kritiskās organizācijas visā pasaulē.
Satura rādītājs
Izsmalcināta taktika un rīki Izceliet progresīvus draudus
Symantec pirmo reizi konstatēja pārkāpuma pazīmes 2024. gada 11. aprīlī un konstatēja, ka uzbrukums turpinājās līdz augustam. Šajā laikā uzbrucēji pārvietojās uz sāniem pa upura tīklu, apdraudot daudzas iekārtas. Dažas no mērķsistēmām bija Microsoft Exchange serveri, kas liecina, ka uzbrucēji centās iegūt izlūkdatus, piekļūstot sensitīviem e-pasta datiem.
Kampaņas laikā izmantotie eksfiltrācijas rīki vēl vairāk apstiprina, ka no upura infrastruktūras tika iegūta vērtīga informācija. Lai veicinātu uzbrukumu, hakeri izmantoja atvērtā pirmkoda rīku un iebūvēto Windows utilītu kombināciju. Tādi rīki kā FileZilla, Impacket un PSCP tika izvietoti kopā ar ārzemēm, izmantojot Windows Management Instrumentation (WMI), PsExec un PowerShell, lai izpildītu ļaunprātīgas komandas un iekļautos likumīgās tīkla darbībās.
Ķīnas loma un kiberspiegošanas metožu izmantošana
Lai gan mērķorganizācijas nosaukums netiek izpausts, tās ievērojamās darbības Ķīnā palielina aizdomas, ka uzbrucēji bijuši saistīti ar Ķīnas valsts sponsorētiem grupējumiem. Kiberuzbrukums lielā mērā balstījās uz DLL sānu ielādi, kas ir Ķīnas hakeru komandu raksturīgā taktika. Pārkāpuma artefakti atbilst tiem, kas novēroti "Crimson Palace", kas ir iepriekšējā valsts atbalstītā operācija. Turklāt 2023. gadā pret šo organizāciju bija vērsta grupa, kas pazīstama kā Daggerfly, kas saukta arī par Bronze Highland, Evasive Panda un StormBamboo.
Plašāka ietekme uz kiberdrošību
Šis pārkāpums atspoguļo plašākas tendences Ķīnas kiberuzbrukuma ekosistēmā, ko Orange Cyberdefense ir detalizēti analizējis. Ķīnas valsts sponsorētās operācijas bieži vien izjauc robežas starp valsts un privātām struktūrām, piesaistot universitātes progresīvai pētniecībai un nodarbinot darbuzņēmējus uzbrukumu veikšanai. Ar Ķīnas militārajām vai izlūkošanas vienībām saistītas personas bieži izveido viltotus uzņēmumus, lai slēptu attiecināšanu, iegādātos digitālo infrastruktūru un vervētu hakerus, neradot aizdomas.
Šie atklājumi uzsver Ķīnas kiberoperāciju pastāvīgo un progresīvo raksturu. Kampaņa, kas vērsta uz šo ASV uzņēmumu, kalpo kā spilgts atgādinājums par mainīgo draudu ainavu un stingras kiberdrošības aizsardzības nozīmi, lai aizsargātu kritiskos līdzekļus no nacionālo valstu pretiniekiem.