Кибератака на американскую фирму, которая длилась 4 месяца, выявила серьезную угрозу, связанную с китайскими хакерами
Недавно раскрытая кибератака выявила сложнейшую операцию, нацеленную на крупную организацию США, с доказательствами, указывающими на спонсируемых государством хакеров из Китая. Это тревожное вторжение, подробно описанное в отчете Symantec, принадлежащей Broadcom, длилось не менее четырех месяцев в этом году, начиная с апреля и, возможно, раньше. Масштаб и методы атаки подчеркивают меняющиеся стратегии киберпреступников и риски, с которыми сталкиваются критически важные организации по всему миру.
Оглавление
Сложные тактики и инструменты выявляют сложные угрозы
Symantec впервые обнаружила признаки нарушения 11 апреля 2024 года и обнаружила, что атака продолжалась до августа. В это время злоумышленники перемещались горизонтально по сети жертвы, скомпрометировав многочисленные машины. Некоторые из целевых систем были серверами Microsoft Exchange, что позволяет предположить, что злоумышленники пытались собрать разведданные, получив доступ к конфиденциальным данным электронной почты.
Инструменты эксфильтрации, развернутые во время кампании, еще раз подтверждают, что ценная информация была извлечена из инфраструктуры жертвы. Хакеры использовали комбинацию инструментов с открытым исходным кодом и встроенных утилит Windows для продолжения своей атаки. Такие инструменты, как FileZilla, Impacket и PSCP, были развернуты вместе с методами жизни вне земли, используя Windows Management Instrumentation (WMI), PsExec и PowerShell для выполнения вредоносных команд и встраивания в легальную сетевую активность.
Роль Китая и использование методов кибершпионажа
Хотя название целевой организации не разглашается, ее значительные операции в Китае добавляют веса подозрениям, что злоумышленники были связаны с китайскими государственными группами. Кибератака в значительной степени опиралась на стороннюю загрузку DLL, отличительную тактику китайских хакерских команд. Артефакты взлома совпадают с теми, что наблюдались в «Crimson Palace», предыдущей операции, поддерживаемой государством. Кроме того, эта организация ранее в 2023 году подвергалась атакам со стороны группы, известной как Daggerfly, также известной как Bronze Highland, Evasive Panda и StormBamboo.
Более широкие последствия для кибербезопасности
Эта утечка отражает более широкие тенденции в кибернаступательной экосистеме Китая, которую Orange Cyberdefense подробно проанализировала. Спонсируемые государством китайские операции часто стирают границы между государственными и частными организациями, используя университеты для передовых исследований и нанимая подрядчиков для выполнения атак. Фальшивые компании часто создаются лицами, связанными с китайскими военными или разведывательными подразделениями, чтобы скрыть атрибуцию, закупить цифровую инфраструктуру и набрать хакеров, не вызывая подозрений.
Эти результаты подчеркивают постоянную и продвинутую природу китайских киберопераций. Кампания, нацеленная на эту американскую фирму, служит суровым напоминанием о меняющемся ландшафте угроз и важности надежной защиты кибербезопасности для защиты критически важных активов от противников на уровне государств.