Vier maanden durende cyberaanval op Amerikaans bedrijf legt geavanceerde dreiging bloot die verband houdt met Chinese hackers
Een onlangs ontdekte cyberaanval heeft een zeer geavanceerde operatie aan het licht gebracht die gericht was op een grote Amerikaanse organisatie, met bewijs dat wijst op door de staat gesponsorde hackers uit China. Deze alarmerende inbraak, gedetailleerd in een rapport van Broadcom-eigendom Symantec, besloeg dit jaar minstens vier maanden, beginnend in april en mogelijk eerder. De omvang en methoden van de aanval onderstrepen de evoluerende strategieën van cybertegenstanders en de risico's waarmee kritieke organisaties wereldwijd worden geconfronteerd.
Inhoudsopgave
Geavanceerde tactieken en hulpmiddelen benadrukken geavanceerde bedreigingen
Symantec ontdekte voor het eerst tekenen van de inbreuk op 11 april 2024 en ontdekte dat de aanval tot augustus aanhield. Gedurende deze tijd bewogen de aanvallers zich lateraal over het netwerk van het slachtoffer en compromitteerden ze talloze machines. Sommige van de beoogde systemen waren Microsoft Exchange Servers, een zet die suggereert dat de aanvallers probeerden inlichtingen te verzamelen door toegang te krijgen tot gevoelige e-mailgegevens.
Exfiltratietools die tijdens de campagne werden ingezet, bevestigen verder dat waardevolle informatie uit de infrastructuur van het slachtoffer werd gehaald. De hackers gebruikten een combinatie van open-sourcetools en ingebouwde Windows-hulpprogramma's om hun aanval verder uit te voeren. Tools zoals FileZilla, Impacket en PSCP werden ingezet naast living-off-the-land-technieken, waarbij Windows Management Instrumentation (WMI), PsExec en PowerShell werden ingezet om kwaadaardige opdrachten uit te voeren en zich te mengen in legitieme netwerkactiviteit.
De rol van China en het gebruik van cyberspionagetechnieken
Hoewel de naam van de beoogde organisatie niet is bekendgemaakt, versterken de belangrijke activiteiten in China het vermoeden dat de aanvallers banden hadden met door de Chinese staat gesponsorde groepen. De cyberaanval was sterk afhankelijk van DLL-sideloading, een kenmerkende tactiek van Chinese hackersteams. Artefacten van de inbreuk komen overeen met die welke zijn waargenomen in "Crimson Palace", een eerdere door de staat gesteunde operatie. Bovendien was deze organisatie in 2023 al eerder het doelwit van een groep die bekendstaat als Daggerfly, ook wel bekend als Bronze Highland, Evasive Panda en StormBamboo.
Bredere implicaties voor cyberbeveiliging
Deze inbreuk weerspiegelt bredere trends binnen China's cyberoffensief ecosysteem, dat Orange Cyberdefense in detail heeft geanalyseerd. Chinese staatsgesponsorde operaties vervagen vaak de grenzen tussen publieke en private entiteiten, waarbij universiteiten worden ingezet voor geavanceerd onderzoek en contractanten worden ingezet om aanvallen uit te voeren. Nepbedrijven worden vaak opgericht door personen die verbonden zijn met Chinese militaire of inlichtingendiensten om toeschrijving te verdoezelen, digitale infrastructuur aan te schaffen en hackers te rekruteren zonder argwaan te wekken.
Deze bevindingen benadrukken de aanhoudende en geavanceerde aard van Chinese cyberoperaties. De campagne die zich richt op dit Amerikaanse bedrijf dient als een grimmige herinnering aan het veranderende dreigingslandschap en het belang van robuuste cybersecurityverdedigingen om kritieke activa te beschermen tegen tegenstanders van natiestaten.