4-Buwanang Cyberattack sa US Firm ay Naglalantad ng Advanced na Banta na Naka-link sa mga Chinese Hacker
Ang isang kamakailang natuklasang cyberattack ay nagbigay-liwanag sa isang napaka-sopistikadong operasyon na nagta-target sa isang pangunahing organisasyon ng US, na may ebidensya na tumuturo sa mga hacker na inisponsor ng estado mula sa China. Ang nakababahala na panghihimasok na ito, na detalyado sa isang ulat ng Symantec na pag-aari ng Broadcom, ay tumagal ng hindi bababa sa apat na buwan sa taong ito, simula noong Abril at posibleng mas maaga. Binibigyang-diin ng saklaw at pamamaraan ng pag-atake ang mga umuusbong na estratehiya ng mga cyber adversaries at ang mga panganib na kinakaharap ng mga kritikal na organisasyon sa buong mundo.
Talaan ng mga Nilalaman
Itinampok ng mga Sopistikadong Taktika at Tool ang Mga Advanced na Banta
Unang natukoy ng Symantec ang mga palatandaan ng paglabag noong Abril 11, 2024, at nalaman na nagpatuloy ang pag-atake hanggang Agosto. Sa panahong ito, ang mga umaatake ay lumipat sa gilid sa network ng biktima, na nakompromiso ang maraming makina. Ang ilan sa mga naka-target na system ay Microsoft Exchange Servers, isang hakbang na nagmumungkahi na ang mga umaatake ay naghahangad na mangolekta ng katalinuhan sa pamamagitan ng pag-access sa sensitibong data ng email.
Ang mga tool sa exfiltration na ipinakalat sa panahon ng kampanya ay higit na nagpapatunay na ang mahalagang impormasyon ay nakuha mula sa imprastraktura ng biktima. Gumamit ang mga hacker ng kumbinasyon ng mga open-source na tool at built-in na Windows utilities upang palawakin ang kanilang pag-atake. Ang mga tool tulad ng FileZilla, Impacket, at PSCP ay na-deploy kasama ng mga diskarte sa pamumuhay sa labas ng lupa, na ginagamit ang Windows Management Instrumentation (WMI), PsExec, at PowerShell upang magsagawa ng mga nakakahamak na command at maghalo sa lehitimong aktibidad ng network.
Ang Tungkulin ng China at ang Paggamit ng Cyber Espionage Techniques
Bagama't hindi isiniwalat ang pangalan ng target na organisasyon, ang mga makabuluhang operasyon nito sa China ay nagdaragdag ng bigat sa mga hinala na ang mga umaatake ay na-link sa mga grupong itinataguyod ng estado ng China. Ang cyberattack ay lubos na umasa sa DLL side-loading, isang tatak ng taktika ng mga Chinese hacking team. Ang mga artifact mula sa paglabag ay nakahanay sa mga naobserbahan sa "Crimson Palace," isang naunang operasyong suportado ng estado. Bukod pa rito, ang organisasyong ito ay na-target dati noong 2023 ng isang grupong kilala bilang Daggerfly, na tinutukoy din bilang Bronze Highland, Evasive Panda, at StormBamboo.
Mas Malapad na Implikasyon para sa Cybersecurity
Ang paglabag na ito ay sumasalamin sa mas malawak na mga uso sa loob ng cyber offensive ecosystem ng China, na sinuri nang detalyado ng Orange Cyberdefense. Ang mga operasyong itinataguyod ng estado ng China ay kadalasang nagpapalabo sa mga linya sa pagitan ng mga pampubliko at pribadong entity, na ginagamit ang mga unibersidad para sa advanced na pananaliksik at gumagamit ng mga kontratista upang magsagawa ng mga pag-atake. Ang mga pekeng kumpanya ay madalas na itinatag ng mga indibidwal na konektado sa Chinese military o intelligence units para itago ang pagpapatungkol, kumuha ng digital na imprastraktura, at mag-recruit ng mga hacker nang hindi nagtataas ng hinala.
Binibigyang-diin ng mga natuklasang ito ang patuloy at advanced na katangian ng mga operasyong cyber ng China. Ang kampanyang nagta-target sa US firm na ito ay nagsisilbing isang matinding paalala ng umuusbong na tanawin ng pagbabanta at ang kahalagahan ng matatag na panlaban sa cybersecurity upang maprotektahan ang mga kritikal na asset mula sa mga kalaban ng bansang estado.