A Check Point Research friss elemzése egy olyan, Silver Dragon néven azonosított kiberkémkedési műveletet mutat be, amely ázsiai és európai kormányzati szerveket és közintézményeket vett célba. A kutatók szerint a művelet legalább 2024 közepe óta aktív, és a technikai, valamint működési minták alapján nagy valószínűséggel a kínai APT41 szereplőhöz kapcsolható.
Az ilyen támadások lényege nem a látványos rombolás, hanem a jelenlét. A cél nem feltétlenül rendszerek leállítása vagy zsarolás, hanem a hosszú távú információgyűjtés. A Check Point szerint a csoport két fő belépési módszert használ. Egyrészt igyekszik feltörni az internet felől elérhető szervereket, másrészt célzott adathalász leveleket küld, amelyek hivatalos kommunikációnak álcázzák magukat. Az egyik megfigyelt esetben üzbegisztáni kormányzati szervezeteket célzó e-mailekhez rosszindulatú mellékletek tartoztak. A felhasználó számára látszólag egy normál dokumentum nyílt meg, a háttérben azonban elindult a fertőzés.
A támadók nem feltétlenül hoznak létre feltűnően gyanús szolgáltatásokat a Windowsban, hanem legitimnek látszó rendszerösszetevőket vesznek át vagy alakítanak át. A kutatók olyan eseteket is megfigyeltek, amikor a Windows Update-hez, Bluetooth-szolgáltatásokhoz vagy .NET-es komponensekhez köthető szolgáltatásnevek mögé rejtették a kártékony működést. Ez azért különösen veszélyes, mert egy nagy szervezet informatikai környezetében rengeteg háttérfolyamat fut, és egy látszólag megszokott szolgáltatás könnyen beleolvad a „zajba”.
A Silver Dragon által használt egyedi backdoor, a GearDoor még ennél is modernebb megoldást alkalmaz. Nem klasszikus, gyanús parancs- és vezérlőszerverekkel kommunikál, hanem a Google Drive-ot használja kommunikációs csatornaként. A fertőzött gép saját felhőmappát hoz létre, rendszeresen státuszinformációt tölt fel, onnan olvassa le a támadók utasításait, majd ugyanoda küldi vissza az eredményeket. Mivel a Google Drive forgalom sok szervezetben eleve megengedett és hétköznapi, ez a megközelítés jelentősen csökkenti a lebukás esélyét.
A kutatás további eszközöket is azonosított.
- A SilverScreen nevű komponens képernyőképeket készít az aktív felhasználói munkamenetekről, így a támadók közvetlenül láthatják, mi történik az érintett gépen.
- Az SSHcmd egy távoli parancsvégrehajtásra és fájlmozgatásra alkalmas eszköz.
- Emellett több fertőzési lánc végén megjelent a Cobalt Strike is, amely eredetileg legitim biztonsági tesztelési keretrendszer, de a gyakorlatban régóta kedvelt eszköze a fejlett kiberbűnöző csoportoknak.
A Check Point szerint ezek a komponensek együtt inkább tartós megfigyelésre és hozzáférés-fenntartásra utalnak, mint gyors rombolásra.