Un atac cibernetic de 4 luni asupra unei firme americane expune amenințarea avansată legată de hackeri chinezi
Un atac cibernetic descoperit recent a scos la lumină o operațiune extrem de sofisticată care vizează o organizație importantă din SUA, cu dovezi care indică hackeri sponsorizați de stat din China. Această intruziune alarmantă, detaliată într-un raport al Symantec, deținut de Broadcom, a durat cel puțin patru luni în acest an, începând din aprilie și, potențial, mai devreme. Sfera și metodele atacului subliniază strategiile în evoluție ale adversarilor cibernetici și riscurile cu care se confruntă organizațiile critice din întreaga lume.
Cuprins
Tacticile și instrumentele sofisticate evidențiază amenințările avansate
Symantec a identificat pentru prima dată semne ale încălcării pe 11 aprilie 2024 și a constatat că atacul a persistat până în august. În acest timp, atacatorii s-au deplasat lateral prin rețeaua victimei, compromițând numeroase mașini. Unele dintre sistemele vizate au fost serverele Microsoft Exchange, o mișcare care sugerează că atacatorii au căutat să colecteze informații prin accesarea datelor sensibile de e-mail.
Instrumentele de exfiltrare desfășurate în timpul campaniei confirmă în continuare că informații valoroase au fost extrase din infrastructura victimei. Hackerii au folosit o combinație de instrumente open-source și utilitare Windows încorporate pentru a-și continua atacul. Instrumente precum FileZilla, Impacket și PSCP au fost implementate împreună cu tehnicile care trăiesc în afara terenului, utilizând Windows Management Instrumentation (WMI), PsExec și PowerShell pentru a executa comenzi rău intenționate și pentru a se integra în activitatea de rețea legitimă.
Rolul Chinei și utilizarea tehnicilor de spionaj cibernetic
Deși numele organizației vizate nu a fost dezvăluit, operațiunile sale semnificative în China adaugă greutate suspiciunilor că atacatorii au fost legați de grupuri sponsorizate de stat chinez. Atacul cibernetic s-a bazat în mare măsură pe încărcarea laterală a DLL, o tactică caracteristică a echipelor de hacking chineze. Artefactele din breșă se aliniază cu cele observate în „Crimson Palace”, o operațiune anterioară susținută de stat. În plus, această organizație a fost vizată anterior în 2023 de un grup cunoscut sub numele de Daggerfly, denumit și Bronze Highland, Evasive Panda și StormBamboo.
Implicații mai largi pentru securitatea cibernetică
Această încălcare reflectă tendințe mai ample din ecosistemul ofensiv cibernetic al Chinei, pe care Orange Cyberdefense l-a analizat în detaliu. Operațiunile chineze sponsorizate de stat estompează adesea liniile dintre entitățile publice și private, valorificând universitățile pentru cercetare avansată și angajând contractori pentru a executa atacuri. Companiile false sunt înființate frecvent de persoane conectate la unitățile militare sau de informații chineze pentru a ascunde atribuirea, pentru a procura infrastructură digitală și pentru a recruta hackeri fără a ridica suspiciuni.
Aceste constatări subliniază natura persistentă și avansată a operațiunilor cibernetice din China. Campania care vizează această firmă americană servește ca o reamintire clară a peisajului amenințărilor în evoluție și a importanței unor apărări solide de securitate cibernetică pentru a proteja activele critice de adversarii statelor naționale.