Chińscy hakerzy, najprawdopodobniej powiązani z grupą APT41, prowadzą kampanię cyberszpiegowską wycelowaną w ministerstwa oraz instytucje publiczne w Azji oraz kilku krajach europejskich, w tym w Polsce – ostrzega Check Point Research. To nie kolejny malware, a model włamania, który ma symulować korzystanie z popularnych usług chmurowych.
Powiązana z Chinami operacja jest aktywna co najmniej od połowy 2024 r. i uderza głównie w administrację oraz sektor publiczny w Azji Południowo-Wschodniej, ale odnotowano też ofiary w Europie, o podnosi ryzyko dla instytucji m.in. w Polsce, na Węgrzech i we Włoszech.
Jak wynika z analiz Check Point Research, operatorzy łączą dwa wektory wejścia: wykorzystanie podatności w serwerach oraz phishing (m.in. odnotowano kampanię podszywającą się pod oficjalną korespondencję, kierowaną do instytucji rządowych w Uzbekistanie). Po uzyskaniu dostępu utrzymują obecność poprzez podszywanie się pod legalne usługi Windows, a do sterowania używają autorskiego backdoora GearDoor, który wymienia polecenia i wyniki przez pliki w Google Drive (foldery per zainfekowana maszyna, pliki udające np. grafiki czy archiwa).
– Silver Dragon odzwierciedla obecny trend w nowoczesnym cyberszpiegostwie – napastnicy wykorzystują różne wektory początkowego dostępu, ukrywają się w zaufanych usługach Windows oraz na powszechnie używanych platformach, takich jak Google Drive – podkreśla Sergey Shykevich, Threat Intelligence Group Manager w Check Point Software.
W zestawie narzędzi pojawiają się też komponenty do obserwacji użytkownika (np. mechanizm zrzutów ekranu „tylko gdy coś się zmienia”) oraz Cobalt Strike, często z komunikacją maskowaną. Cobalt Strike to komercyjny zestaw narzędzi do testów bezpieczeństwa (tzw. red teaming), używany przez specjalistów do symulowania ataków w firmach. Jednocześnie z narzędzi korzystają coraz częściej cyberprzestępcy i grupy APT, bo świetnie nadaje się do „prowadzenia” włamania po wejściu do sieci.
– Badanie pokazuje, że bezpieczeństwo nie może już traktować ruchu chmurowego i kluczowych komponentów systemu operacyjnego jako z natury bezpiecznych. Aby utrzymać ochronę, organizacje — zwłaszcza instytucje rządowe — muszą priorytetowo wdrażać szybkie łatanie wystawionych na internet serwerów, wzmacniać zabezpieczenia poczty oraz prowadzić ciągły monitoring zmian na poziomie usług i „sankcjonowanej” aktywności w chmurze – dodaje ekspert Check Pointa.
Udostępnione analizy wskazują, że celem operacji było długotrwałe pozyskiwanie informacji, w tym obserwacja aktywności użytkowników oraz potencjalny dostęp do plików i danych w środowisku organizacji. Silver Dragon podkreśla szerszy, strategiczny trend w zaawansowanych operacjach cyberszpiegowskich. Zamiast opierać się wyłącznie na własnej, „szytej na miarę” infrastrukturze, cyberszpiedzy coraz częściej zaszywają się w legalnych systemach przedsiębiorstw oraz zaufanych usługach chmurowych. To ogranicza widoczność dla tradycyjnych zabezpieczeń brzegowych i wydłuża czas niejawnej obecności atakujących w sieciach ofiar.
