Китайски хакерски групи атакуват бизнеса чрез облачни услуги и уязвимости в системи

Китайски хакерски групи атакуват бизнеса чрез облачни услуги и уязвимости в системи

Киберсигурността все по-често се оказва в центъра на вниманието, след като изследователи предупреждават за нови вълни от атаки, идващи от свързани с Китай хакерски групи. Последните доклади показват, че тези групи не просто се възползват от уязвимости в популярни системи, но и намират все по-хитри начини да проникват в корпоративни облачни среди, където се съхраняват чувствителни данни.

Murky Panda – специалисти по „нулеви“ уязвимости и облачни пробиви

Една от най-активните групи е Murky Panda (позната още като Silk Typhoon или бившия Hafnium). Тя стана известна през 2021 г. с мащабната експлоатация на уязвимости в Microsoft Exchange Server.

Хакерите използват различни подходи:

• атакуват устройства и системи, които имат връзка с интернет;
• възползват се както от вече познати уязвимости („N-day“), така и от новооткрити и непоправени („zero-day“);
• пробиват малки офисни и домашни устройства (SOHO), които използват като „прикритие“, за да скрият истинския си произход.

След като получат достъп, Murky Panda инсталират инструменти като уеб шел скриптове и собствен зловреден софтуер – CloudedHope. Той им осигурява постоянен достъп и възможност за управление от разстояние, като едновременно с това прикрива следите им.

Най-опасната част от техните атаки обаче е злоупотребата с доверени връзки – използват връзките между компании и техните партньори в облака, за да се придвижват „настрани“ и да достигат до нови жертви. В реален случай от 2024 г. те са компрометирали доставчик на услуга в Северна Америка и чрез неговия достъп са създали фалшив акаунт в облачната услуга Entra ID, който им е дал контрол върху имейлите и управлението на Active Directory.

Genesis Panda – фокус върху финансовия сектор и облачни акаунти

Друга група, наречена Genesis Panda, е активна от началото на 2024 г. и се насочва основно към финансови институции, медии, телекомуникации и технологични компании в 11 държави.

Genesis Panda е по-малко шумна, но изключително последователна. Те използват уязвимости във външни системи, за да получат първоначален достъп, а след това се насочват директно към облачните акаунти. Там събират данни и си осигуряват резервни канали за достъп.

Често използват Instance Metadata Service (IMDS) – услуга в облачните среди, която им дава възможност да извличат креденшъли (данни за вход) и конфигурации. Това им позволява да се придвижват по-дълбоко в мрежата на жертвата и да остават незабелязани.

Glacial Panda – удари по телекомуникациите

Третата активна група е Glacial Panda, която според експертите е увеличила атаките си срещу телекомуникационния сектор с цели 130% за последната година. Причината е очевидна – телекомуникационните компании разполагат с огромни количества информация за разговори и мрежови данни, които са ценен източник на разузнаване.

Glacial Panda се цели основно в Linux системи, които често поддържат по-стари телекомуникационни технологии. Те използват комбинация от:

• слаби пароли;
• стари и непачнати уязвимости (като Dirty COW и PwnKit);
• зловредни версии на OpenSSH, наречени ShieldSlide, които им позволяват да крадат пароли и да създават скрити „вратички“ за достъп.

Какво означава това за бизнеса?

Общото между тези три групи е, че те все по-умело използват облачни среди и легитимни връзки между компании, за да проникват и да остават дълго време незабелязани. Те рядко търсят моментална изгода (като кражба на пари), а целят дългосрочно разузнаване и достъп до информация.

За бизнеса това означава няколко важни неща:

• Облачната сигурност вече е критична – не е достатъчно да се разчита само на стандартната защита от доставчика.
• Партньорите и доставчиците са потенциален риск – една пробита компания може да отвори вратата и за вашата.
• Следенето на уязвимости и бързото им запушване е задължително – особено за системи, достъпни през интернет.
• Многофакторната автентикация (MFA) и строгото управление на достъпа могат да спрат част от тези атаки.

Заключение

Китайските хакерски групи като Murky Panda, Genesis Panda и Glacial Panda показват, че играта на киберсигурността става все по-сложна. Те съчетават техническа изобретателност, търпение и умение да се прикриват, за да осигурят продължителен достъп до корпоративни мрежи и облачни среди.

За компаниите по света – включително и у нас – това е ясен сигнал, че защитата трябва да обхваща не само собствената инфраструктура, но и облачните услуги, партньорските връзки и цялата верига на доставчици.