Egy feltételezhetően kínai háttérrel rendelkező kibercsoport, az „Operation Digital Eye” kódnevű művelet során a Visual Studio Code népszerű fejlesztői környezet biztonsági réseit használta ki, hogy vállalati rendszerekbe hatoljon be Dél-Európában. A támadások főként vállalatközi (B2B) IT-szolgáltatókat céloztak meg, állítják a SentinelLabs és a Tinexta Cyber biztonsági szakértői.
Hogyan történt a támadás?
A támadók a Visual Studio Code Remote Tunnels nevű funkcióját használták, amelyet eredetileg távoli fejlesztői munkafolyamatok támogatására terveztek. Ez a technológia lehetővé teszi a parancsok végrehajtását és a fájlrendszerhez való hozzáférést a célgépeken. Az érintett fájlokat a Microsoft hitelesítő aláírása tette még megtévesztőbbé, míg a hálózati forgalmat a Microsoft Azure szerverei irányították, így a támadások a legtöbb biztonsági rendszer számára láthatatlanok maradtak.
Ez a módszer rendkívül nehezen felderíthetővé tette a támadásokat, mivel a hackerek legitim fejlesztési folyamatokat utánozva rejtették el rosszindulatú tevékenységüket.
A célpontok és a támadás indítéka
A művelet fő célpontjai nagy ipari adatokkal, infrastruktúrával és kiberbiztonsággal foglalkozó szervezetek voltak. Az ilyen rendszerek kompromittálásával a hackerek nemcsak közvetlen információkat lophattak el, hanem hozzáférést szerezhettek ügyfélszervezetek hálózataihoz is. A SentinelLabs szerint az ilyen behatolások stratégiai előnyt biztosítanak, különösen a gazdasági és geopolitikai versenyben.
A támadások időzítése és precizitása arra utal, hogy egy állami támogatású kibercsoport állhat mögötte, amely érzékeny adatok megszerzésére és kritikus IT-rendszerek megbénítására törekedett.
A támadás folyamata
A hackerek kezdetben SQL-injekcióval törtek be web- és adatbázis-szerverekbe, majd PHP-alapú webshellt telepítettek, amelyet obfuszkációs technikákkal álcáztak. Ezután hálózati felderítést végeztek, és olyan eszközöket használtak, mint a Windows natív segédprogramjai és a GetUserInfo. A hálózaton belüli mozgáshoz a Remote Desktop Protocol (RDP) és a pass-the-hash technikát alkalmazták, amelyet egy speciális, „bK2o.exe” nevű eszközzel támogattak.
A Visual Studio Code Remote Tunnels funkcióját a támadók úgy használták, hogy az alagutak legitim rendszerfolyamatoknak tűntek. Ezáltal távoli hozzáférést biztosítottak a kompromittált gépekhez, amelyeket akár a Visual Studio Code böngészős verzióján keresztül is irányíthattak.
Kínai eredetű jelek
A SentinelLabs elemzése szerint számos bizonyíték utal kínai eredetre:
A használt webshell kódjában egyszerűsített kínai nyelvű megjegyzéseket találtak.
A pass-the-hash technikához kapcsolódó eszközök korábban más kínai műveleteknél is előkerültek, például az Operation Soft Cell vagy az Operation Tainted Love során.
Egyedi fejlesztésű eszközök, például a „mimCN”, kizárólag kínai APT-kapcsolatokkal jelentek meg korábbi incidensekben.
Megelőzés és tanulságok
A SentinelLabs és a Tinexta Cyber sikeresen azonosította és leállította a Digital Eye műveletet, még mielőtt a támadók érzékeny adatokat szerezhettek volna. A Microsoftot is értesítették a Visual Studio Code és az Azure-alapú infrastruktúra sebezhetőségeinek kezelésére.
A kutatók szerint az ilyen jellegű támadások azt mutatják, hogy a modern kibertérben az államilag támogatott csoportok egyre kifinomultabb technikákat alkalmaznak. A fejlesztői eszközök, például a Visual Studio Code manipulációja arra hívja fel a figyelmet, hogy a szervezeteknek erőteljesebb végpontvédelmi és hálózati monitoring megoldásokra van szükségük.
Az iparági együttműködés kulcsfontosságú a jövőbeni támadások megelőzésében, mivel a fenyegetések egyre komplexebbé válnak. A Digital Eye művelet is arra figyelmeztet, hogy a kiberbiztonság területén nincs helye a tétlenségnek.
