Analitycy Check Point Software Technologies ostrzegają przed kampanią cyberszpiegowską powiązaną z chińską grupą APT41, a określaną jako Silver Dragon. Jest ona wymierzona głównie w ministerstwa i instytucje publiczne w Azji Południowo-Wschodniej, ale według ekspertów, ofiary wykryte w Europie zwiększają ryzyko dla sektora publicznego także w takich krajach jak Polska, Węgry oraz Włochy.
Napastnicy wykorzystują dwa główne wektory dostępu: podatności w serwerach wystawionych do internetu oraz kampanie phishingowe. Jedna z nich podszywała się pod oficjalną korespondencję kierowaną do instytucji rządowych. Po uzyskaniu dostępu atakujący ukrywają swoją aktywność, podszywając się pod legalne usługi systemu Microsoft Windows.
Do utrzymywania kontroli nad zainfekowanymi komputerami cyberprzestępcy wykorzystują autorski backdoor GearDoor. Narzędzie to komunikuje się z operatorami poprzez pliki przechowywane w usłudze Google Drive, gdzie dla każdej zainfekowanej maszyny tworzony jest osobny folder. Pliki poleceń i wyników są maskowane jako grafiki lub archiwa, co utrudnia wykrycie operacji.
W arsenale atakujących znalazło się również oprogramowanie Cobalt Strike – to komercyjny zestaw narzędzi do testów bezpieczeństwa, który bywa wykorzystywany także przez cyberprzestępców do prowadzenia dalszych działań po uzyskaniu dostępu do sieci.
Eksperci zwracają uwagę, że operacja pokazuje rosnący trend w cyberszpiegostwie. Zamiast korzystać z własnej infrastruktury dowodzenia, grupy APT coraz częściej ukrywają komunikację w popularnych usługach chmurowych i legalnych komponentach systemów operacyjnych. Takie podejście utrudnia wykrycie ataku i pozwala dłużej utrzymywać nieautoryzowany dostęp do sieci ofiar.
Specjaliści zalecają organizacjom – a szczególnie instytucjom publicznym – szybkie łatanie podatności w serwerach dostępnych z internetu, wzmacnianie zabezpieczeń poczty elektronicznej oraz stałe monitorowanie aktywności w usługach chmurowych i systemowych.
