Čínští hackeři začali nenápadně útočit na Rusy. Nejsou z toho nadšení, vůbec je neumí odhalit

Cílené kybernetické útoky proti ruským dodavatelům IT ze strany čínských hackerů jsou poměrně překvapivé. Redakce Mobify zjistila, že cílem není jenom přímé narušení systémů, ale spíše neustálé shromažďování informací. Skupina APT31 operuje od roku 2010, a její specializací je kybernetická špionáž, která přináší výhody Pekingu.

APT31 útočí na ruské firmy skrz cloudová úložiště

Hackerská firma APT31, přezdívaná i Altaire nebo Violet Typhoon, se zaměřuje převážně na dodavatele softwarových řešení pro vládní a strategické sektory, uvádí PTSecurity. Útočníci využívají legitimní cloudové služby, například Yandex Cloud nebo Microsoft OneDrive, aby filtrovali data a zadávali příkazy. Tím se snaží splynout s běžným provozem firmy a minimalizovat riziko odhalení.

Mezi techniky skupiny patří phishingové e-maily s archivními soubory RAR nebo ZIP, které spouští škodlivé zástupce systému Windows (LNK) a nakonec aktivují nástroje jako CloudyLoader. Tyto programy dokážou bočním načítáním DLL ovládat napadený systém a přenášet data do infrastrukturních serverů útočníků.

Další zajímavou taktikou je využívání sociálních sítí. APT31 ukrývá šifrované příkazy do profilů, aby je oběť jen těžko odhalila. Využívají také nečekané časy útoků, například o víkendech či během prázdnin, kdy bezpečnostní týmy firem často nereagují hned.

Nástroje a techniky, které používají

APT31 disponuje širokým arzenálem různých softwarů, které mohou firmě pomoci s průzkumem i třeba krádežemi dat:

• SharpADUserIP – průzkum a objevování aktivních účtů v síti.
• SharpChrome.exe – získávání hesel a cookies z prohlížečů Chrome a Edge.
• StickyNotesExtract.exe – extrakce dat z Windows Sticky Notes.
• COFFProxy a CloudSorcerer – backdoory umožňující tunelování provozu, exfiltraci dat a vzdálenou kontrolu.
• Tailscale VPN a Microsoft Development Tunnels – vytváření šifrovaných P2P tunelů mezi napadenými systémy a serverovou infrastrukturou útočníků.
• OneDriveDoor a YaLeak – využívání cloudových služeb k doručování příkazů a odesílání ukradených dat.

V praxi to znamená, že infikovaný počítač může dlouhou dobu odesílat citlivé informace, aniž by jeho provoz vzbudil podezření v bezpečnostních systémech. Některé z nástrojů jsou navrženy tak, aby napodobovaly legitimní aplikace, například Yandex Disk nebo Google Chrome, čímž útočníci maskují svou aktivitu.

Pro ruské IT firmy je tato forma útoku dost závažným tématem, protože znamená ztrátu strategických dat a přístup k interním systémům bez okamžitého odhalení. APT31 se zaměřuje jak na samotná zařízení, tak třeba i na přihlašovací údaje k e-mailům, interním nástrojům a cloudovým úložištím.

Co si z toho vzít pro vlastní ochranu

Vždycky je důležité dbát na ochranu, a to i samozřejmě v případě dat, obzvláště jste-li majitelem firmy, nebo máte na starost její bezpečnost. Dbejte na následující:

• Monitorujte přístup a aktivitu na cloudových účtech – každé podezřelé připojení by mělo být prošetřeno.
• Používejte dvoufaktorovou autentizaci – zvyšuje ochranu proti krádeži přihlašovacích údajů.
• Pravidelně aktualizujte software a bezpečnostní nástroje – staré zranitelnosti jsou často vstupní branou pro APT skupiny.
• Vzdělávejte zaměstnance – phishing a sociální inženýrství jsou stále hlavními metodami útoků.

Ostatně letos měla i Česká republika co dočinění s touto skupinou, psal theHackerNews. Sofistikované skupiny jako APT31 se totiž neomezují jen na velké korporace. I malé nebo střední firmy mohou být nenápadně sledovány a kompromitovány.