Chińscy hakerzy z grupy Silver Dragon, najprawdopodobniej powiązani z grupą APT41, prowadzą kampanię cyberszpiegowską wycelowaną w ministerstwa oraz instytucje publiczne w Azji oraz kilku krajach europejskich, w tym w Polsce – twierdzi Check Point.

To nie kolejny malware, lecz model włamania, który ma symulować korzystanie z popularnych usług chmurowych. Według Check Pointa gang łączy dwa wektory wejścia: wykorzystanie podatności w serwerach i phishing. Celem obserwowanej dotąd operacji było długotrwałe pozyskiwanie informacji, w tym obserwacja aktywności użytkowników oraz dostęp do plików i danych.

Mapa celów kampanii Silver Dragon. Źródło: Check Point Research

Niebezpieczny trend dla przedsiębiorstw

Silver Dragon podkreśla szerszy, strategiczny trend w zaawansowanych operacjach cyberszpiegowskich. Otóż hakerzy coraz częściej zaszywają się w legalnych systemach przedsiębiorstw i zaufanych usługach chmurowych. To ogranicza ich widoczność dla tradycyjnych zabezpieczeń i wydłuża obecność w sieci ofiar.

Mianowicie po uzyskaniu dostępu chińscy hakerzy utrzymują obecność w zaatakowanym systemie, podszywając się pod legalne usługi Windows. Do sterowania używają autorskiego backdoora GearDoor, który wymienia polecenia i wyniki przez pliki w Google Drive. Aktywność taką stwierdzono od połowy 2024 r.

W zestawie narzędzi pojawiają się też komponenty do obserwacji użytkownika (np. zrzuty ekranu, gdy coś się zmienia) oraz Cobalt Strike. Jest to komercyjny zestaw do testów bezpieczeństwa. Jednocześnie z takich narzędzi korzystają coraz częściej cyberprzestępcy.

Trzeba monitorować aktywność w chmurze

„Badanie pokazuje, że bezpieczeństwo nie może już traktować ruchu chmurowego i kluczowych komponentów systemu operacyjnego jako z natury bezpiecznych. Aby utrzymać ochronę, organizacje — zwłaszcza instytucje rządowe — muszą priorytetowo wdrażać szybkie łatanie wystawionych na internet serwerów, wzmacniać zabezpieczenia poczty i prowadzić ciągły monitoring zmian na poziomie usług oraz „sankcjonowanej” aktywności w chmurze” – radzi Sergey Shykevich, Threat Intelligence Group Manager w Check Point Software.