Lopakodó támadás és ravasz technikák
A támadók, hogy elkerüljék a lebukást, a Microsoft egyik segédprogramjának (cdb.exe) átnevezett változatát (7zup.exe) használták, amellyel shellkódot is futtathattak, DLL-t tölthettek be vagy folyamatokat ragadhattak el. Emellett különböző trükköket vetettek be, például jelszólistákat emeltek ki, ütemezett feladatokat állítottak be a rendszerben, és naplófájlokat töröltek. Az adatokat a támadók a Yandex Cloudon keresztül vitték ki – ez egy olyan platform, amelyet az orosz cégek megszokásból elfogadnak, így a támadók az orosz kibervédelem látókörén kívül maradtak.
Kína a barátság ellenére is kémkedik
Kína kiterjesztett kiberkémkedési tevékenységet folytat Oroszországban, annak ellenére, hogy a két ország vezetői nyilvánosan teljes barátságot mutatnak. Kínai hackercsoportok 2022 közepe óta több orosz állami és vállalati hálózatba is bejutottak, katonai titkokat keresve. Egyes hekkerek például orosz mérnöki cégnek álcázták magukat, hogy adatokat lopjanak atom-tengeralattjárókról; más csoportok az orosz védelmi óriás, a Rostec rendszereit vizsgálták, hogy műholdas kommunikációval és elektronikus hadviseléssel kapcsolatos részleteket szerezzenek meg.
Új támadási módszerek, nagyobb fenyegetések
Ezzel párhuzamosan a Jewelbug csoport már Microsoft Graph API-kat és OneDrive-ot is használ parancsvezérlésre, ami Dél-Amerikában is komolyabb veszélyt jelent. Ez a felhőalapú megközelítés megnehezíti a hagyományos védekezést. Az orosz szolgáltatók és ügyfeleik számára egyértelmű figyelmeztetés érkezett: már nincs kibervédelmi „barátság”, és a játékszabályok végleg megváltoztak.
