Ulozi Kineskih Hakera: Krađa Informacija u Globalnoj Inženjerskoj Firmi
Kineski hakeri, koji su budni pod pokroviteljstvom države, mjesecima su istraživali jednu globalnu inženjersku firmu sa sjedištem u Sjedinjenim Američkim Državama, pokušavajući ukrasti povjerljive informacije, tehničke crteže, prijave za pristup i druge osjetljive podatke. Ekskluzivno izvješće portala The Register osvrnulo se na predstavu ovog incidenta s Johnom Dwyerom, direktorom istraživanja sigurnosti u tvrtki Binary Defense. Ovaj managed detection and response tim bio je angažiran da istraži situaciju kada je napad otkriven.
Tajna Meta
Unatoč tome što ime ciljne tvrtke nije objavljeno, opisano je kao proizvođač “komponenti za javne i privatne organizacije u zrakoplovstvu te druge kritične sektore, uključujući naftu i plin.” Hakerska skupina također nije precizno identificirana, ali istražitelji smatraju da je riječ o kineskim hakerima, koji su djelovali pod državnim pokroviteljstvom.
Metode Napada
- Hakeri su se uspješno infiltrirali u infrastrukturu tvrtke putem tri neuređene AIX servera.
- Ovi IBM-ovi serveri imali su operativni sustav Advanced Interactive eXecutive, koji se temelji na UNIX-u i, izgleda, još su uvijek koristili zadane prijavne podatke.
- To je omogućilo napadačima da brute-force napadom dobiju pristup sustavu, nakon čega su se uspostavili unutar mrežnog okruženja i skrivali mjesecima.
- Prema istražiteljima, prvi proboj dogodio se u ožujku ove godine, s ciljem prikupljanja podataka koji se kasnije mogu koristiti u napadima na opskrbne lance.
Posljedice i Rizici
Budući da tvrtka proizvodi opremu za ključne sektore, rizik od kvara važnog hardvera bio je stvaran. Iako je žrtva imala postavljene sustave za otkrivanje i odgovor na prijetnje (EDR), ovi AIX serveri bili su toliko stari da nisu bili kompatibilni s EDR-om, stoga nisu bili pod nadzorom. The Register ih opisuje kao “dugo zaboravljene strojeve”, koji često predstavljaju neuređene IT sustave.
Intervencija Od Strane Stručnjaka
Kada su hakeri pokušali izvesti napad na proces LSASS unutar Windows servera – što je “uobičajen način za prikupljanje prijavnih podataka”, napominje portal – primijećeni su i blokirani. Ovaj incident naglašava važnost redovitog nadzora i ažuriranja IT infrastrukture u organizacijama koje rade s osjetljivim podacima.
Zaključak
Ovaj slučaj služi kao upozorenje svim organizacijama o ozbiljnosti cyber prijetnji i potrebi za jačim sigurnosnim mjerama. U svijetu gdje informacije postaju glavni cilj napadača, svaki propust u sigurnosti može imati dalekosežne posljedice. Preporučuje se svim organizacijama da revidiraju svoje IT sustave i osiguraju da svaki aspekt njihove infrastrukture bude zaštićen od neovlaštenog pristupa.
