محققان از یک حمله سایبری چهار ماهه که با هکرهای چینی مرتبط است، پرده برداشتهاند. این مهاجمان از تکنیکهایی مانند DLL side-loading و سوءاستفاده از سرورهای Exchange برای سرقت دادههای حساس استفاده کردهاند. این موضوع نگرانیهایی را در مورد جاسوسی تحت حمایت دولت چین ایجاد کرده است.
بررسی یک نفوذ سایبری چهار ماهه
کشف اخیر، حمله سایبری پیچیدهای را که اوایل امسال یک سازمان برجسته آمریکایی را هدف قرار داده بود، روشن کرده است. این حمله که از آوریل تا آگوست ۲۰۲۴ ادامه داشت، گمان میرود کار گروههای هک تحت حمایت دولت چین باشد. در حالی که نام سازمان فاش نشده است، حضور قابل توجه آن در چین به نظریه دخالت چینیها وزن میبخشد.
جدول زمانی حمله
این حمله اولین بار در ۱۱ آوریل ۲۰۲۴ شناسایی شد، اما شواهد نشان میدهد که ممکن است حتی زودتر شروع شده باشد. به گفته Symantec متعلق به Broadcom، مهاجمان به صورت جانبی در شبکه حرکت کردند و چندین دستگاه، از جمله سرورهای Exchange حیاتی را به خطر انداختند. این سرورها احتمالاً برای جمعآوری دادههای ایمیل هدف قرار گرفتهاند که نشاندهنده انگیزه جمعآوری اطلاعات است.
تحقیقات Symantec استفاده از تاکتیکهای مخرب مختلف را نشان داد، با یک جزئیات کلیدی برجسته – دستوری که باعث شروع نفوذ اولیه شد از طریق ابزار مدیریت ویندوز (Windows Management Instrumentation : WMI) از دستگاه دیگری که قبلاً هک شده بود، اجرا شد. این نشان میدهد که مهاجمان قبل از ۱۱ آوریل چندین دستگاه را در داخل سازمان هک کرده بودند.
ابزار و تاکتیکهای مهاجمان
مهاجمان در طول این نفوذ از چندین تکنیک و ابزار پیشرفته استفاده کردند:
- DLL Side-Loading: یک روش امضا که اغلب با عوامل تهدید چینی مرتبط است.
- ابزارهای متنباز: از ابزارهایی مانند FileZilla، Impacket و PSCP برای سرقت دادهها و حرکت جانبی استفاده شد.
- برنامههای Living-off-the-Land (LotL): مهاجمان از ابزارهای بومی ویندوز مانند WMI، PsExec و PowerShell برای جلوگیری از شناسایی استفاده کردند.
این روشهای پیچیده به مهاجمان اجازه داد تا حضور خود را حفظ کنند و اطلاعات حساس را بدون ایجاد هشدار استخراج کنند.
ارتباط با گروههای هک چینی
ردپای این حمله، محققان را به ظن دخالت چینیها سوق میدهد. استفاده از DLL side-loading و ابزارهای متنباز با تاکتیکهایی که قبلاً در عملیاتهایی توسط گروههایی مانند Crimson Palace و Daggerfly (همچنین به عنوان Bronze Highland، Evasive Panda یا StormBamboo نیز شناخته میشوند) دیده شده بود، مطابقت دارد.
آنچه به این سوء ظن میافزاید، سابقه این سازمان است – این سازمان در سال ۲۰۲۳ نیز توسط گروهی با ارتباطات آزمایشی با Daggerfly هدف قرار گرفته بود. این هدفگیری مکرر نشاندهنده علاقه استراتژیک به نفوذ به این نهاد خاص است.
تصویر بزرگتر: اکوسیستم تهاجمی سایبری چین
این حمله بخشی از یک الگوی گستردهتر از فعالیتهای سایبری تحت حمایت دولت چین است. گزارشی مفصل توسط Orange Cyberdefense، روابط درهم تنیده بین مؤسسات عمومی، نهادهای خصوصی و بازیگران فردی در چارچوب تهاجمی سایبری چین را برجسته میکند. مشاهدات کلیدی عبارتند از:
- نقش دانشگاهها: مؤسسات دانشگاهی اغلب به عنوان مراکزی برای تحقیقات امنیتی و استخدام استعدادها عمل میکنند.
- پیمانکاران Hack-for-Hire: گروههای مستقل حملات را تحت هدایت دولت انجام میدهند.
- شرکتهای پوششی: شرکتهای جعلی با تهیه زیرساخت و استخدام پرسنل برای عملیات سایبری به پنهان کردن دخالت دولت کمک میکنند.
این لایههای پنهانکاری، انتساب را چالش برانگیز میکند اما غیرممکن نمیکند، همانطور که یافتههای Symantec نشان میدهد.
پیامدها و نکات کلیدی
این حادثه تهدید مداوم ناشی از حملات سایبری تحت حمایت دولت را برجسته میکند. با هدف قرار دادن زیرساختهای حیاتی مانند سرورهای Exchange و استفاده از تکنیکهای پیشرفته، مهاجمان میتوانند دادههای ارزشمندی را با پیامدهای بالقوه گسترده استخراج کنند.
سازمانهایی با حضور جهانی، به ویژه آنهایی که در مناطقی مانند چین فعالیت میکنند، باید هوشیار بمانند. اجرای اقدامات قوی امنیت سایبری، انجام ارزیابیهای منظم تهدید و آگاهی از تهدیدهای نوظهور، گامهای حیاتی در کاهش خطرات هستند.
افکار نهایی
کشف این حمله سایبری چهار ماهه، یادآوری واضحی از چشمانداز در حال تکامل جنگ سایبری است. از آنجایی که کشورهای ملی به سوء استفاده از آسیبپذیریهای دیجیتال برای منافع استراتژیک ادامه میدهند، سازمانها در سراسر جهان باید امنیت سایبری را به عنوان یک جزء اصلی از عملیات خود در اولویت قرار دهند. هوشیاری و آمادگی بهترین دفاع در برابر چنین نفوذهای پیچیدهای است.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
