Fire måneder langt cyberangrep mot amerikansk firma avslører avansert trussel knyttet til kinesiske hackere
Et nylig avdekket nettangrep har brakt frem i lyset en svært sofistikert operasjon rettet mot en stor amerikansk organisasjon, med bevis som peker på statsstøttede hackere fra Kina. Dette alarmerende innbruddet, beskrevet i en rapport fra Broadcom-eide Symantec, strakte seg over minst fire måneder i år, fra april og potensielt tidligere. Angrepets omfang og metoder understreker de utviklende strategiene til cybermotstandere og risikoen som kritiske organisasjoner over hele verden står overfor.
Innholdsfortegnelse
Sofistikert taktikk og verktøy fremhever avanserte trusler
Symantec identifiserte først tegn på bruddet 11. april 2024, og fant ut at angrepet vedvarte gjennom august. I løpet av denne tiden beveget angriperne seg sideveis over offerets nettverk, og kompromitterte en rekke maskiner. Noen av de målrettede systemene var Microsoft Exchange Servers, et grep som antyder at angriperne forsøkte å samle etterretning ved å få tilgang til sensitive e-postdata.
Eksfiltrasjonsverktøy som ble utplassert under kampanjen, bekrefter videre at verdifull informasjon ble hentet fra offerets infrastruktur. Hackerne brukte en kombinasjon av åpen kildekode-verktøy og innebygde Windows-verktøy for å fremme angrepet. Verktøy som FileZilla, Impacket og PSCP ble distribuert sammen med teknikker for å leve utenfor landet, og utnyttet Windows Management Instrumentation (WMI), PsExec og PowerShell for å utføre ondsinnede kommandoer og blande seg inn i legitim nettverksaktivitet.
Kinas rolle og bruken av cyberspionasjeteknikker
Selv om navnet på den målrettede organisasjonen ikke er avslørt, legger dens betydelige operasjoner i Kina vekt på mistankene om at angriperne var knyttet til kinesiske statsstøttede grupper. Nettangrepet var sterkt avhengig av DLL-sidelasting, en kjennetegnende taktikk for kinesiske hacking-team. Artefakter fra bruddet stemmer overens med de som ble observert i "Crimson Palace", en tidligere statsstøttet operasjon. I tillegg hadde denne organisasjonen vært målrettet tidligere i 2023 av en gruppe kjent som Daggerfly, også referert til som Bronze Highland, Evasive Panda og StormBamboo.
Større implikasjoner for cybersikkerhet
Dette bruddet reflekterer bredere trender innenfor Kinas cyberoffensive økosystem, som Orange Cyberdefense har analysert i detalj. Kinesiske statsstøttede operasjoner visker ofte ut grensene mellom offentlige og private enheter, utnytter universiteter for avansert forskning og ansetter kontraktører for å utføre angrep. Falske selskaper etableres ofte av enkeltpersoner knyttet til kinesiske militære eller etterretningsenheter for å skjule attribusjon, skaffe digital infrastruktur og rekruttere hackere uten å vekke mistanke.
Disse funnene understreker den vedvarende og avanserte karakteren til kinesiske cyberoperasjoner. Kampanjen rettet mot dette amerikanske firmaet tjener som en sterk påminnelse om det utviklende trussellandskapet og viktigheten av robuste nettsikkerhetsforsvar for å beskytte kritiske eiendeler fra nasjonalstatsmotstandere.