4-miesięczny cyberatak na amerykańską firmę ujawnia zaawansowane zagrożenie powiązane z chińskimi hakerami
Niedawno ujawniony cyberatak ujawnił wysoce wyrafinowaną operację wymierzoną w dużą organizację w USA, z dowodami wskazującymi na hakerów sponsorowanych przez państwo z Chin. Ta alarmująca inwazja, szczegółowo opisana w raporcie firmy Symantec należącej do Broadcom, trwała co najmniej cztery miesiące w tym roku, zaczynając się w kwietniu, a potencjalnie wcześniej. Zakres i metody ataku podkreślają ewoluujące strategie cybernetycznych przeciwników i ryzyko, z jakim mierzą się kluczowe organizacje na całym świecie.
Spis treści
Zaawansowane taktyki i narzędzia wyróżniają zaawansowane zagrożenia
Symantec po raz pierwszy zidentyfikował oznaki naruszenia 11 kwietnia 2024 r. i stwierdził, że atak trwał do sierpnia. W tym czasie atakujący poruszali się bocznie po sieci ofiary, narażając na szwank wiele maszyn. Niektóre z atakowanych systemów to serwery Microsoft Exchange, co sugeruje, że atakujący chcieli zebrać informacje wywiadowcze, uzyskując dostęp do poufnych danych e-mail.
Narzędzia do eksfiltracji wdrożone podczas kampanii dodatkowo potwierdzają, że cenne informacje zostały wydobyte z infrastruktury ofiary. Hakerzy zastosowali kombinację narzędzi open-source i wbudowanych narzędzi Windows, aby kontynuować atak. Narzędzia takie jak FileZilla, Impacket i PSCP zostały wdrożone obok technik Living-off-the-land, wykorzystując Windows Management Instrumentation (WMI), PsExec i PowerShell do wykonywania złośliwych poleceń i wtapiania się w legalną aktywność sieciową.
Rola Chin i stosowanie technik cybernetycznego szpiegostwa
Chociaż nazwa atakowanej organizacji nie została ujawniona, jej znaczące operacje w Chinach wzmacniają podejrzenia, że atakujący byli powiązani z chińskimi grupami sponsorowanymi przez państwo. Cyberatak w dużej mierze opierał się na bocznym ładowaniu DLL, charakterystycznej taktyce chińskich zespołów hakerskich. Artefakty z włamania pokrywają się z tymi zaobserwowanymi w „Crimson Palace”, poprzedniej operacji wspieranej przez państwo. Ponadto organizacja ta była wcześniej atakowana w 2023 r. przez grupę znaną jako Daggerfly, znaną również jako Bronze Highland, Evasive Panda i StormBamboo.
Szersze implikacje dla cyberbezpieczeństwa
To naruszenie odzwierciedla szersze trendy w chińskim ekosystemie cyberataków, które Orange Cyberdefense szczegółowo przeanalizował. Chińskie operacje sponsorowane przez państwo często zacierają granice między podmiotami publicznymi i prywatnymi, wykorzystując uniwersytety do zaawansowanych badań i zatrudniając kontrahentów do przeprowadzania ataków. Fałszywe firmy są często zakładane przez osoby powiązane z chińskimi jednostkami wojskowymi lub wywiadowczymi w celu ukrycia atrybucji, pozyskania infrastruktury cyfrowej i rekrutacji hakerów bez wzbudzania podejrzeń.
Te ustalenia podkreślają uporczywą i zaawansowaną naturę chińskich operacji cybernetycznych. Kampania wymierzona w tę amerykańską firmę służy jako surowe przypomnienie o ewoluującym krajobrazie zagrożeń i znaczeniu solidnych zabezpieczeń cybernetycznych w celu ochrony kluczowych zasobów przed przeciwnikami z państw narodowych.