4-місячна кібератака на американську фірму виявила загрозу, пов’язану з китайськими хакерами
Нещодавно розкрита кібератака виявила надзвичайно складну операцію, націлену на велику організацію США, з доказами, що вказують на державних хакерів з Китаю. Це тривожне вторгнення, описане у звіті Symantec, що належить Broadcom, охопило щонайменше чотири місяці цього року, починаючи з квітня і, можливо, раніше. Масштаби та методи атаки підкреслюють розвиток стратегій кіберсупротивників і ризики, з якими стикаються критично важливі організації по всьому світу.
Зміст
Складні тактики та інструменти виділяють передові загрози
Symantec вперше виявила ознаки зламу 11 квітня 2024 року та виявила, що атака тривала до серпня. Протягом цього часу зловмисники переміщалися по мережі жертви, скомпрометувавши численні машини. Деякі з цільових систем були серверами Microsoft Exchange, що свідчить про те, що зловмисники намагалися отримати розвідувальну інформацію, отримавши доступ до конфіденційних даних електронної пошти.
Інструменти ексфільтрації, застосовані під час кампанії, додатково підтверджують, що цінну інформацію було вилучено з інфраструктури жертви. Для подальшої атаки хакери використали інструменти з відкритим кодом і вбудовані утиліти Windows. Такі інструменти, як FileZilla, Impacket і PSCP, були розгорнуті разом із методами життя поза межами землі, використовуючи Windows Management Instrumentation (WMI), PsExec і PowerShell для виконання зловмисних команд і змішування з законною мережевою активністю.
Роль Китаю та використання методів кібершпигунства
Хоча назва цільової організації не розголошується, її значні операції в Китаї додають ваги підозрам у тому, що нападники були пов’язані з китайськими державними групами. Кібератака значною мірою покладалася на бокове завантаження DLL, характерну тактику китайських хакерських команд. Артефакти від пролому збігаються з тими, що спостерігалися в «Багряному палаці», попередній операції за підтримки держави. Крім того, у 2023 році ця організація була мішенню групи, відомої як Daggerfly, яку також називають Bronze Highland, Evasive Panda та StormBamboo.
Більш широкі наслідки для кібербезпеки
Це порушення відображає ширші тенденції в екосистемі кібернаступу Китаю, яку Orange Cyberdefense детально проаналізувала. Операції, спонсоровані державою Китаю, часто стирають межі між державними та приватними організаціями, залучаючи університети для передових досліджень і наймаючи підрядників для здійснення атак. Фальшиві компанії часто створюють особи, пов’язані з китайськими військовими або розвідувальними підрозділами, щоб приховати авторство, придбати цифрову інфраструктуру та вербувати хакерів, не викликаючи підозр.
Ці висновки підкреслюють постійний і передовий характер китайських кібероперацій. Кампанія, націлена на цю американську фірму, служить яскравим нагадуванням про зміну ландшафту загроз і важливість надійного захисту кібербезпеки для захисту критично важливих активів від супротивників національних держав.