4-месечни сајбер напад на америчку компанију открива напредну претњу повезану са кинеским хакерима
Недавно откривен сајбер напад изнео је на видело веома софистицирану операцију усмерену на велику америчку организацију, са доказима који указују на хакере из Кине које спонзорише држава. Овај алармантни упад, детаљно описан у извештају компаније Симантец у власништву Броадцома, трајао је најмање четири месеца ове године, почевши од априла, а потенцијално и раније. Обим и методе напада наглашавају еволуирајуће стратегије сајбер противника и ризике са којима се суочавају критичне организације широм света.
Преглед садржаја
Софистициране тактике и алати истичу напредне претње
Симантец је први пут идентификовао знаке кршења 11. априла 2024. и открио да је напад трајао до августа. За то време, нападачи су се кретали бочно преко мреже жртве, компромитујући бројне машине. Неки од циљаних система били су Мицрософт Екцханге сервери, потез који сугерише да су нападачи настојали да прикупе обавештајне податке приступајући осетљивим подацима е-поште.
Алати за ексфилтрацију коришћени током кампање додатно потврђују да су вредне информације извучене из инфраструктуре жртве. Хакери су користили комбинацију алата отвореног кода и уграђених Виндовс услужних програма да би унапредили свој напад. Алати као што су ФилеЗилла, Имппацкет и ПСЦП су распоређени заједно са техникама живота ван земље, користећи Виндовс Манагемент Инструментатион (ВМИ), ПсЕкец и ПоверСхелл да изврше злонамерне команде и уклопе се у легитимну мрежну активност.
Улога Кине и употреба техника сајбер шпијунаже
Иако име циљане организације није откривено, њене значајне операције у Кини додају тежину сумњама да су нападачи повезани са групама које спонзорише кинеска држава. Сајбер напад се у великој мери ослањао на бочно учитавање ДЛЛ-а, карактеристичну тактику кинеских хакерских тимова. Артефакти из пробоја су у складу са онима који су примећени у „Цримсон Палаце“, претходној операцији коју је подржавала држава. Поред тога, ова организација је раније 2023. године била на мети групе познате као Даггерфли, која се такође назива Бронзе Хигхланд, Евасиве Панда и СтормБамбоо.
Шире импликације на сајбер безбедност
Ово кршење одражава шире трендове унутар кинеског сајбер офанзивног екосистема, који је Оранге Цибердефенсе детаљно анализирао. Операције које спонзорише кинеска држава често бришу границе између јавних и приватних субјеката, користећи универзитете за напредна истраживања и запошљавајући извођаче за извођење напада. Лажне компаније често оснивају појединци повезани са кинеским војним или обавештајним јединицама како би прикрили приписивање, набавили дигиталну инфраструктуру и регрутовали хакере без изазивања сумње.
Ови налази наглашавају упорну и напредну природу кинеских сајбер операција. Кампања усмерена на ову америчку фирму служи као оштар подсетник на еволуирајући пејзаж претњи и важност снажне одбране сајбер безбедности за заштиту критичне имовине од противника националне државе.