To nie tylko atak, ale zmiana sposobu działania – przydatny kontekst dla kolegi, który śledzi cyberbezpieczeństwo.
Chińscy hakerzy atakują Polskę Przebieg historii i kluczowe fakty
Analitycy firmy ESET wykryli nową falę cyberataków na europejskie instytucje rządowe, w tym w Polsce, Belgii, Włoszech i Hiszpanii. Za atakami stoi grupa Webworm, powiązana z Chinami, specjalizująca się w szpiegostwie cyfrowym i kradzieży dokumentów. Zamiast tworzyć podejrzane ruchy sieciowe, hakerzy wykorzystują legalne usługi – komunikator Discord oraz chmurę Microsoft OneDrive – by ukryć złośliwą aktywność.
Atak opiera się na dwóch nowych narzędziach: EchoCreep i GraphWorm. Pierwsze komunikuje się przez Discorda, przesyłając raporty i odbierając polecenia. Drugie podszywa się pod ruch Microsoft Graph, wykorzystując OneDrive do transferu danych. Taka taktyka pozwala ominąć standardowe systemy ochrony, ponieważ ruch wygląda jak normalne korzystanie z usług chmurowych.
Kluczowym przełomem było odszyfrowanie ponad 400 wiadomości przesyłanych przez Discorda, co pozwoliło zlokalizować serwer hakerów i zidentyfikować kilkadziesiąt zainfekowanych systemów. ESET potwierdził już wyciek danych z hiszpańskiej instytucji rządowej. Grupa Webworm wcześniej skupiała się na Azji, ale teraz wyraźnie zmierza na Stary Kontynent, wykorzystując nawet infrastrukturę Amazon Web Services do wyprowadzania danych.
Fakty
- Grupa Webworm, powiązana z Chinami, atakuje instytucje rządowe w Polsce, Belgii, Włoszech i Hiszpanii.
- Hakerzy wykorzystują Discord i Microsoft OneDrive do ukrycia złośliwego ruchu sieciowego.
- Wykryto dwa nowe narzędzia: EchoCreep (via Discord) i GraphWorm (via OneDrive).
- Analitykom ESET udało się odszyfrować ponad 400 wiadomości i zlokalizować serwer atakujących.
- Webworm przenosi się z Azji na Europę i używa AWS do wyprowadzania danych.
- ESET potwierdził wyciek danych z hiszpańskiej instytucji rządowej.
Wizualne wyjaśnienie wiadomości od Canto. Narzędzia AI mogą pomagać w produkcji. Polityka redakcyjna