4-mesečni kibernetski napad na ameriško podjetje razkriva napredno grožnjo, povezano s kitajskimi hekerji
Nedavno odkriti kibernetski napad je razkril zelo sofisticirano operacijo, usmerjeno na večjo ameriško organizacijo, z dokazi, ki kažejo na hekerje iz Kitajske, ki jih sponzorira država. Ta zaskrbljujoč vdor, ki je podrobno opisan v poročilu Symanteca v lasti Broadcoma, je trajal vsaj štiri mesece letos, z začetkom aprila in potencialno prej. Obseg in metode napada poudarjajo razvijajoče se strategije kibernetskih nasprotnikov in tveganja, s katerimi se soočajo kritične organizacije po vsem svetu.
Kazalo
Sofisticirane taktike in orodja poudarjajo napredne grožnje
Symantec je prvič odkril znake kršitve 11. aprila 2024 in ugotovil, da je napad trajal do avgusta. V tem času so se napadalci premikali bočno po žrtvinem omrežju in ogrozili številne stroje. Nekateri ciljni sistemi so bili strežniki Microsoft Exchange, kar nakazuje, da so napadalci želeli zbrati obveščevalne podatke z dostopom do občutljivih e-poštnih podatkov.
Orodja za izgon, ki so bila uporabljena med kampanjo, še dodatno potrjujejo, da so bile dragocene informacije pridobljene iz infrastrukture žrtve. Hekerji so za nadaljevanje napada uporabili kombinacijo odprtokodnih orodij in vgrajenih pripomočkov Windows. Orodja, kot so FileZilla, Impacket in PSCP, so bila uvedena skupaj s tehnikami življenja zunaj zemlje, pri čemer so izkoriščali Windows Management Instrumentation (WMI), PsExec in PowerShell za izvajanje zlonamernih ukazov in zlivanje z zakonito omrežno dejavnostjo.
Vloga Kitajske in uporaba tehnik kibernetskega vohunjenja
Čeprav ime ciljne organizacije ni bilo razkrito, njene pomembne operacije na Kitajskem dajejo težo sumom, da so bili napadalci povezani s skupinami, ki jih sponzorira kitajska država. Kibernetski napad se je močno zanašal na stransko nalaganje DLL, značilno taktiko kitajskih hekerskih skupin. Artefakti iz vdora se ujemajo s tistimi, opaženimi v "Crimson Palace", prejšnji operaciji, ki jo je podpirala država. Poleg tega je bila ta organizacija že leta 2023 tarča skupine, znane kot Daggerfly, imenovana tudi Bronze Highland, Evasive Panda in StormBamboo.
Širše posledice za kibernetsko varnost
Ta kršitev odraža širše trende znotraj kitajskega kibernetskega ofenzivnega ekosistema, ki ga je Orange Cyberdefense podrobno analiziral. Operacije, ki jih sponzorira kitajska država, pogosto zabrišejo meje med javnimi in zasebnimi subjekti, pri čemer uporabljajo univerze za napredne raziskave in zaposlujejo izvajalce za izvajanje napadov. Lažna podjetja pogosto ustanovijo posamezniki, povezani s kitajskimi vojaškimi ali obveščevalnimi enotami, da prikrijejo pripisovanje, pridobijo digitalno infrastrukturo in novačijo hekerje, ne da bi pri tem vzbudili sum.
Te ugotovitve poudarjajo vztrajno in napredno naravo kitajskih kibernetskih operacij. Kampanja, usmerjena v to ameriško podjetje, služi kot oster opomin na razvijajoče se pokrajine groženj in pomen močne obrambe kibernetske varnosti za zaščito kritičnih sredstev pred nasprotniki iz nacionalnih držav.