Fyra månader lång cyberattack mot amerikanskt företag avslöjar avancerat hot kopplat till kinesiska hackare
En nyligen avslöjad cyberattack har visat på en mycket sofistikerad operation riktad mot en stor amerikansk organisation, med bevis som pekar på statligt sponsrade hackare från Kina. Detta alarmerande intrång, som beskrivs i en rapport från Broadcom-ägda Symantec, sträckte sig över minst fyra månader i år, med början i april och eventuellt tidigare. Attackens omfattning och metoder understryker de utvecklande strategierna för cyberfientliga och de risker som kritiska organisationer över hela världen står inför.
Innehållsförteckning
Sofistikerad taktik och verktyg lyfter fram avancerade hot
Symantec identifierade först tecken på intrånget den 11 april 2024 och fann att attacken fortsatte under augusti. Under denna tid rörde sig angriparna i sidled över offrets nätverk och äventyrade många maskiner. Några av de riktade systemen var Microsoft Exchange-servrar, ett drag som tyder på att angriparna försökte samla in intelligens genom att komma åt känslig e-postdata.
Exfiltreringsverktyg som användes under kampanjen bekräftar ytterligare att värdefull information extraherades från offrets infrastruktur. Hackarna använde en kombination av verktyg med öppen källkod och inbyggda Windows-verktyg för att främja attacken. Verktyg som FileZilla, Impacket och PSCP distribuerades tillsammans med tekniker för att leva utanför landet, och utnyttjade Windows Management Instrumentation (WMI), PsExec och PowerShell för att utföra skadliga kommandon och smälta in i legitim nätverksaktivitet.
Kinas roll och användningen av cyberspionagetekniker
Även om namnet på den riktade organisationen inte har avslöjats, lägger dess betydande verksamhet i Kina tyngd till misstankarna om att angriparna var kopplade till kinesiska statligt sponsrade grupper. Cyberattacken förlitade sig mycket på DLL-sidoladdning, en kännetecknande taktik för kinesiska hackingteam. Artefakter från intrånget stämmer överens med de som observerades i "Crimson Palace", en tidigare statligt stödd operation. Dessutom hade denna organisation varit måltavla tidigare 2023 av en grupp känd som Daggerfly, även kallad Bronze Highland, Evasive Panda och StormBamboo.
Vidare konsekvenser för cybersäkerhet
Detta brott speglar bredare trender inom Kinas cyberoffensiva ekosystem, som Orange Cyberdefense har analyserat i detalj. Kinesiska statligt sponsrade operationer suddar ofta ut gränserna mellan offentliga och privata enheter, utnyttjar universiteten för avancerad forskning och anställer entreprenörer för att utföra attacker. Falska företag etableras ofta av individer kopplade till kinesiska militär- eller underrättelseenheter för att dölja attribution, skaffa digital infrastruktur och rekrytera hackare utan att väcka misstankar.
Dessa fynd betonar den ihållande och avancerade karaktären hos kinesiska cyberoperationer. Kampanjen som riktar sig till detta amerikanska företag tjänar som en skarp påminnelse om det framväxande hotlandskapet och vikten av robusta cybersäkerhetsförsvar för att skydda kritiska tillgångar från nationalstatsfiender.