Serangan Siber Selama 4 Bulan ke atas Firma AS Mendedahkan Ancaman Lanjutan Dihubungkan dengan Penggodam China

Serangan siber yang ditemui baru-baru ini telah mendedahkan operasi yang sangat canggih yang menyasarkan organisasi utama AS, dengan bukti menunjukkan penggodam tajaan kerajaan dari China. Pencerobohan yang membimbangkan ini, diperincikan dalam laporan oleh Symantec milik Broadcom, berlangsung sekurang-kurangnya empat bulan tahun ini, bermula pada April dan berpotensi lebih awal. Skop dan kaedah serangan menggariskan strategi yang berkembang musuh siber dan risiko yang dihadapi oleh organisasi kritikal di seluruh dunia.

Taktik dan Alat Canggih Menyerlahkan Ancaman Lanjutan

Symantec mula-mula mengenal pasti tanda-tanda pelanggaran pada 11 April 2024, dan mendapati bahawa serangan itu berterusan hingga Ogos. Pada masa ini, penyerang bergerak melintasi rangkaian mangsa, menjejaskan banyak mesin. Beberapa sistem yang disasarkan ialah Pelayan Microsoft Exchange, satu langkah yang mencadangkan penyerang berusaha untuk mengumpul risikan dengan mengakses data e-mel yang sensitif.

Alat penapisan yang digunakan semasa kempen mengesahkan lagi bahawa maklumat berharga telah diekstrak daripada infrastruktur mangsa. Penggodam menggunakan gabungan alat sumber terbuka dan utiliti Windows terbina dalam untuk meneruskan serangan mereka. Alat seperti FileZilla, Impacket dan PSCP telah digunakan bersama-sama teknik hidup-luar-tanah, memanfaatkan Instrumen Pengurusan Windows (WMI), PsExec dan PowerShell untuk melaksanakan perintah berniat jahat dan menggabungkan ke dalam aktiviti rangkaian yang sah.

Peranan China dan Penggunaan Teknik Pengintipan Siber

Walaupun nama organisasi yang disasarkan belum didedahkan, operasi pentingnya di China menambah berat kepada syak wasangka bahawa penyerang dikaitkan dengan kumpulan tajaan kerajaan China. Serangan siber itu banyak bergantung pada pemuatan sisi DLL, taktik utama pasukan penggodam China. Artifak daripada pelanggaran itu sejajar dengan yang diperhatikan dalam "Istana Crimson," operasi yang disokong kerajaan sebelum ini. Selain itu, organisasi ini telah disasarkan sebelum ini pada 2023 oleh kumpulan yang dikenali sebagai Daggerfly, juga dirujuk sebagai Bronze Highland, Evasive Panda dan StormBamboo.

Implikasi yang Lebih Luas untuk Keselamatan Siber

Pelanggaran ini mencerminkan arah aliran yang lebih luas dalam ekosistem serangan siber China, yang telah dianalisis secara terperinci oleh Orange Cyberdefense. Operasi tajaan kerajaan China sering mengaburkan sempadan antara entiti awam dan swasta, memanfaatkan universiti untuk penyelidikan lanjutan dan menggaji kontraktor untuk melaksanakan serangan. Syarikat palsu sering ditubuhkan oleh individu yang berkaitan dengan unit tentera atau perisikan China untuk mengaburkan atribusi, mendapatkan infrastruktur digital dan merekrut penggodam tanpa menimbulkan syak wasangka.

Penemuan ini menekankan sifat operasi siber China yang berterusan dan maju. Kempen yang menyasarkan firma AS ini berfungsi sebagai peringatan yang jelas tentang landskap ancaman yang berkembang dan kepentingan pertahanan keselamatan siber yang teguh untuk melindungi aset kritikal daripada musuh negara bangsa.