Od października 2023 roku podejrzewany o powiązania z Chinami podmiot zagrożenia przeprowadzał serię cyberataków wymierzonych w wysokoprofilowe organizacje w Azji Południowo-Wschodniej. Incydenty te pokazują, jak skomplikowane i precyzyjne stały się techniki współczesnego cybernetycznego szpiegostwa.
Według raportu Symantec Threat Hunter Team, ataki dotknęły wiele sektorów, w tym ministerstwa w dwóch różnych krajach, organizację kontroli ruchu lotniczego, firmę telekomunikacyjną oraz dużą redakcję medialną. Te wyrafinowane kampanie szpiegowskie wykorzystywały zarówno narzędzia open-source, jak i zaawansowane techniki „życia z ziemi” (Living-off-the-Land, LotL), które umożliwiają atakującym skuteczne przenikanie do systemów docelowych, jednocześnie minimalizując wykrywanie przez standardowe środki bezpieczeństwa.
W trakcie kampanii cyberprzestępcy wykorzystywali narzędzia, takie jak programy proxy, w tym blank”>Rakshasa i blank”>Stowaway, a także oprogramowanie służące do mapowania infrastruktury sieciowej, kradzieży haseł oraz rejestrowania naciśnięć klawiszy (keyloggery). Jednym z kluczowych narzędzi był także PlugX, znany trojan zdalnej administracji wykorzystywany przez wiele chińskich grup APT (Advanced Persistent Threat). Dzięki tym zasobom hakerzy byli w stanie uzyskać i utrzymać dostęp do zaatakowanych systemów przez wiele miesięcy.
W jednym z ataków, który trwał od czerwca do sierpnia 2024 roku, napastnicy wykonali rozległe działania rozpoznawcze i zdobywali informacje o hasłach, instalowali keyloggery oraz uruchamiali niestandardowe pliki DLL umożliwiające przechwytywanie informacji logowania użytkowników. Co więcej, wykorzystali techniki umożliwiające przechowywanie zdobytych danych w zaszyfrowanych archiwach, które następnie przesyłano na zewnętrzne usługi przechowywania plików, takie jak File.io.
Symantec wyraźnie zwrócił uwagę na zdolność hakerów do przedłużonego, ukrytego dostępu do zainfekowanych sieci. Tego rodzaju „trwałość” pozwalała napastnikom nie tylko na gromadzenie danych, ale również na szczegółowe mapowanie zaatakowanych środowisk w celu identyfikacji potencjalnie wartościowych celów. Eksperci od cyberszpiegostwa zaznaczają, że długoterminowa działalność tego typu świadczy o wysokim poziomie organizacji i determinacji atakujących.
Symantec podkreślił, że użycie takich narzędzi i technik, które wcześniej były wiązane z chińskimi grupami APT, sugeruje, że odpowiedzialność za te działania leży po stronie aktorów związanych z Chinami. Jednocześnie trudności w jednoznacznym przypisaniu ataków do jednej konkretnej grupy wynikają z faktu, że chińskie grupy APT często dzielą się między sobą narzędziami, co znacznie utrudnia przypisanie indywidualnego autorstwa. To w połączeniu ze standardową praktyką używania zmodyfikowanych narzędzi publicznie dostępnych (open-source) tworzy dodatkową warstwę ochrony dla samych cyberprzestępców.
Nie można ignorować szerokiego kontekstu geopolitycznego, który towarzyszy tego rodzaju kampaniom. Napięcia związane z morskimi sporami terytorialnymi w rejonie Morza Południowochińskiego zwiększają presję na rządy i organizacje w Azji Południowo-Wschodniej, czyniąc je atrakcyjnymi celami dla zagranicznych operacji szpiegowskich. Grupy takie jak blank”>Unfading Sea Haze, blank”>Mustang Panda czy CeranaKeeper regularnie prowadzą działania wymierzone w instytucje kluczowe dla regionalnej stabilizacji i bezpieczeństwa.
Ostatnie raporty ujawniające cyberataki na dużych dostawców usług IT w Europie Południowej pokazują, jak dalekosiężne są działania tych grup. Podczas działań określanych jako „Operacja Cybernetyczne Oko”, hakerzy wykorzystali swoją zdolność do lateralnych ruchów w systemach, co znacznie zwiększyło potencjalne szkody wynikające z ich działań.
Wszystkie te wydarzenia podkreślają złożoność i rosnące zagrożenie związane z globalnym cyberszpiegostwem. Współczesne kampanie szpiegowskie pokazują, że atakujący nie tylko inwestują w zaawansowane narzędzia techniczne, ale także starannie planują swoje działania, co sprawia, że są one coraz trudniejsze do wykrycia. Organizacje na całym świecie muszą zatem wdrażać zaawansowane systemy bezpieczeństwa oraz dynamiczne podejście do ochrony przed cyberzagrożeniami, jeśli chcą skutecznie przeciwdziałać zagrożeniom związanym z rozwijającymi się grupami APT.