4-mesačný kybernetický útok na americkú firmu odhaľuje pokročilú hrozbu spojenú s čínskymi hackermi
Nedávno odhalený kybernetický útok priniesol na svetlo vysoko sofistikovanú operáciu zameranú na veľkú americkú organizáciu, pričom dôkazy poukazujú na štátom podporovaných hackerov z Číny. Toto alarmujúce narušenie, podrobne opísané v správe spoločnosti Symantec vlastnenej spoločnosťou Broadcom, trvalo najmenej štyri mesiace tohto roka, počnúc aprílom a potenciálne skôr. Rozsah a metódy útoku podčiarkujú vyvíjajúce sa stratégie kybernetických protivníkov a riziká, ktorým čelia kritické organizácie na celom svete.
Obsah
Sofistikované taktiky a nástroje zvýrazňujú pokročilé hrozby
Symantec prvýkrát identifikoval známky narušenia 11. apríla 2024 a zistil, že útok trval až do augusta. Počas tejto doby sa útočníci pohybovali bočne cez sieť obete, čím ohrozili početné stroje. Niektoré z cieľových systémov boli servery Microsoft Exchange, čo naznačuje, že útočníci sa snažili získať informácie prístupom k citlivým e-mailovým údajom.
Exfiltračné nástroje nasadené počas kampane ďalej potvrdzujú, že cenné informácie boli extrahované z infraštruktúry obete. Hackeri na podporu svojho útoku použili kombináciu nástrojov s otvoreným zdrojovým kódom a vstavaných nástrojov systému Windows. Nástroje ako FileZilla, Impacket a PSCP boli nasadené popri technikách života mimo krajiny, využívajúce Windows Management Instrumentation (WMI), PsExec a PowerShell na vykonávanie škodlivých príkazov a začlenenie do legitímnej sieťovej aktivity.
Úloha Číny a používanie techník kybernetickej špionáže
Hoci názov cieľovej organizácie nezverejnili, jej významné operácie v Číne pridávajú váhu podozreniam, že útočníci boli spojení s čínskymi štátom podporovanými skupinami. Kybernetický útok sa vo veľkej miere spoliehal na bočné načítanie DLL, čo je charakteristická taktika čínskych hackerských tímov. Artefakty z prelomu sa zhodujú s tými, ktoré boli pozorované v „Crimson Palace“, predchádzajúcej štátom podporovanej operácii. Okrem toho sa na túto organizáciu v roku 2023 zamerala skupina známa ako Daggerfly, tiež označovaná ako Bronze Highland, Evasive Panda a StormBamboo.
Širšie dôsledky pre kybernetickú bezpečnosť
Toto porušenie odráža širšie trendy v rámci čínskeho kybernetického útočného ekosystému, ktorý Orange Cyberdefense podrobne analyzovala. Operácie podporované čínskym štátom často stierajú hranice medzi verejnými a súkromnými subjektmi, využívajú univerzity na pokročilý výskum a na vykonávanie útokov zamestnávajú dodávateľov. Falošné spoločnosti často zakladajú jednotlivci napojení na čínske vojenské alebo spravodajské jednotky, aby zakryli pripisovanie, zaobstarali si digitálnu infraštruktúru a najímali hackerov bez vzbudenia podozrenia.
Tieto zistenia zdôrazňujú pretrvávajúci a pokročilý charakter čínskych kybernetických operácií. Kampaň zameraná na túto americkú firmu slúži ako ostrá pripomienka vyvíjajúceho sa prostredia hrozieb a dôležitosti robustnej kybernetickej bezpečnosti na ochranu kritického majetku pred protivníkmi národných štátov.