Az Ink Dragon lecsap: kínai kémek Európa kormányhálózataiban

Rejtőzködés a szervereken

A támadások általában úgy kezdődnek, hogy az Ink Dragon a gyengén konfigurált Microsoft IIS- és SharePoint-szervereket térképezi fel. Nem törekednek nulladik napi hibák (zero-day) kihasználására, inkább kevésbé feltűnő réseket keresnek, hogy ne keltsenek gyanút. Miután sikerül bejutniuk, megszerzik a belépési adatokat, és meglévő fiókokkal folytatják a rendszerek kompromittálását, így beleolvadnak a szokásos hálózati forgalomba.

Rafinált trükkök

Ha sikerül jogosultságot szerezniük, tartós hozzáférést építenek ki a fontos rendszerekhez. Hátsóajtókat telepítenek, amelyeken keresztül érzékeny adatokat és mentett jelszavakat gyűjtenek. Az Ink Dragon emellett frissítette a FinalDraft nevű trójai programját is: a kártevő most már képes elrejtőzni a Microsoft felhőszolgáltatásának szokványos hálózati forgalmában, parancsforgalmát postafiók-piszkozatokba ágyazza.

Az új változat csak munkaidőben kommunikál, elkerülve az éjszakai feltűnést, ráadásul gyorsabbá teszi a nagyobb fájlok átvitelét is.

Trendi kémkedés – kínai és orosz módra

Miután az átjátszópontok kiépültek, a támadók kompromittált infrastruktúráról indítják támadásaikat, egyedi IIS-modulokat telepítenek ezekre a szerverekre, amivel bonyolult reléhálót hoznak létre. Ez a kommunikációs módszer elrejti a valódi támadókat.

A feltárás során egy másik kínai csoport, a RudePanda rejtőzködő tevékenysége is lelepleződött, amely ugyanazokat a sérülékenységeket használta ki. Ez jól mutatja, milyen gyorsan alkalmazkodnak az állami hátterű kibertámadók – hasonló taktikákat figyeltek meg orosz csoportoknál is. Az Amazon is figyelmeztet, hogy már 2021 óta zajlik hasonló reléhálózat-építés, főként energiaipari, távközlési és technológiai célpontok ellen – a kompromittált eszközök között már AWS-alapú szerverek is megjelentek.

2025, adrienne, go.theregister.com alapján