Китайски хакерски групи атакуват бизнеса чрез облачни услуги и уязвимости в системи
Киберсигурността все по-често се оказва в центъра на вниманието, след като изследователи предупреждават за нови вълни от атаки, идващи от свързани с Китай хакерски групи. Последните доклади показват, че тези групи не просто се възползват от уязвимости в популярни системи, но и намират все по-хитри начини да проникват в корпоративни облачни среди, където се съхраняват чувствителни данни.
Murky Panda – специалисти по „нулеви“ уязвимости и облачни пробиви
Една от най-активните групи е Murky Panda (позната още като Silk Typhoon или бившия Hafnium). Тя стана известна през 2021 г. с мащабната експлоатация на уязвимости в Microsoft Exchange Server.
Хакерите използват различни подходи:
След като получат достъп, Murky Panda инсталират инструменти като уеб шел скриптове и собствен зловреден софтуер – CloudedHope. Той им осигурява постоянен достъп и възможност за управление от разстояние, като едновременно с това прикрива следите им.
Най-опасната част от техните атаки обаче е злоупотребата с доверени връзки – използват връзките между компании и техните партньори в облака, за да се придвижват „настрани“ и да достигат до нови жертви. В реален случай от 2024 г. те са компрометирали доставчик на услуга в Северна Америка и чрез неговия достъп са създали фалшив акаунт в облачната услуга Entra ID, който им е дал контрол върху имейлите и управлението на Active Directory.
Genesis Panda – фокус върху финансовия сектор и облачни акаунти
Друга група, наречена Genesis Panda, е активна от началото на 2024 г. и се насочва основно към финансови институции, медии, телекомуникации и технологични компании в 11 държави.
Genesis Panda е по-малко шумна, но изключително последователна. Те използват уязвимости във външни системи, за да получат първоначален достъп, а след това се насочват директно към облачните акаунти. Там събират данни и си осигуряват резервни канали за достъп.
Често използват Instance Metadata Service (IMDS) – услуга в облачните среди, която им дава възможност да извличат креденшъли (данни за вход) и конфигурации. Това им позволява да се придвижват по-дълбоко в мрежата на жертвата и да остават незабелязани.
Glacial Panda – удари по телекомуникациите
Третата активна група е Glacial Panda, която според експертите е увеличила атаките си срещу телекомуникационния сектор с цели 130% за последната година. Причината е очевидна – телекомуникационните компании разполагат с огромни количества информация за разговори и мрежови данни, които са ценен източник на разузнаване.
Glacial Panda се цели основно в Linux системи, които често поддържат по-стари телекомуникационни технологии. Те използват комбинация от:
Какво означава това за бизнеса?
Общото между тези три групи е, че те все по-умело използват облачни среди и легитимни връзки между компании, за да проникват и да остават дълго време незабелязани. Те рядко търсят моментална изгода (като кражба на пари), а целят дългосрочно разузнаване и достъп до информация.
За бизнеса това означава няколко важни неща:
Заключение
Китайските хакерски групи като Murky Panda, Genesis Panda и Glacial Panda показват, че играта на киберсигурността става все по-сложна. Те съчетават техническа изобретателност, търпение и умение да се прикриват, за да осигурят продължителен достъп до корпоративни мрежи и облачни среди.
За компаниите по света – включително и у нас – това е ясен сигнал, че защитата трябва да обхваща не само собствената инфраструктура, но и облачните услуги, партньорските връзки и цялата верига на доставчици.
