Operation Digital Eye – kínai kiberkémkedési kampány
Egy feltételezett, Kínához köthető kiberkémkedő csoportnak tulajdonítják a dél-európai nagy üzleti vállalkozások közötti informatikai szolgáltatókat célzó támadásokat, amelyek az Operation Digital Eye kódnevű kampány részeként valósultak meg. A behatolások 2024. június vége és július közepe között zajlottak – közölték a SentinelOne SentinelLabs és a Tinexta Cyber kiberbiztonsági vállalatok közös jelentésükben, hozzátéve, hogy a tevékenységeket észlelték és semlegesítették, mielőtt az adatok kiszivárgási szakaszába léphettek volna.
„A behatolások lehetővé tehették volna az ellenfelek számára, hogy stratégiai támaszpontokat hozzanak létre és kompromittálják a downstream egységeket” – mondták a biztonsági kutatók. A kiberszereplők C2 [command-and-control] célokra használták fel a Visual Studio Code-ot és a Microsoft Azure infrastruktúrát, és megpróbálták elkerülni az észlelést azáltal, hogy a rosszindulatú tevékenységeket legitimnek tüntették fel. Jelenleg nem ismert, hogy melyik Kínához kötődő hackercsoport áll a támadások mögött, ezt nehezíti a kelet-ázsiai országgal szövetséges kiberszereplők között elterjedt eszközkészlet és infrastruktúra-megosztás is.
Az Operation Digital Eye központi eleme a Microsoft Visual Studio Code Remote Tunnels C2-ként való felhasználása, amely egy olyan legitim funkció, amely lehetővé teszi a végpontok távoli elérését, és így a támadók számára lehetővé teszi tetszőleges parancsok végrehajtását és fájlok manipulálását. A kiberszereplők részben azért használnak ilyen nyilvános felhőinfrastruktúrát, hogy tevékenységük elvegyüljön a tipikus hálózati forgalomban. Ráadásul az ilyen tevékenységek olyan legális futtatható fájlokat használnak, amelyeket az alkalmazásvezérlők és a tűzfalszabályok nem blokkolnak.
A vállalatok által megfigyelt támadási láncok az SQL-injekciót használják kezdeti hozzáférési vektorként az internetre néző alkalmazások és adatbázis-kiszolgálók feltöréséhez. A kódbefecskendezést egy SQLmap nevű, legális pentest eszközzel hajtják végre, amely automatizálja az SQL-injekciós hibák észlelésének és kihasználásának folyamatát. A sikeres támadást egy PHP-alapú, PHPsert nevű webes shell telepítése követi, amely lehetővé teszi a kiberszereplők számára, hogy megvethessék a lábukat és tartós távoli hozzáférést alakítsanak ki. Az ezt követő lépések közé tartozik a felderítés, a hitelesítő adatok begyűjtése, valamint a hálózat más rendszereihez való oldalirányú hozzáférés a Remote Desktop Protocol (RDP) és a pass-the-hash technikák segítségével.
