Chiny zaatakowały Rosję. Cybeprzestępcy nie uznają sojuszy, będzie odzew?

Chińska grupa hakerska Jewelbug zaatakowała rosyjskie organizacje. Przez lata oba kraje były postrzegane jako bliscy partnerzy w sferze geopolitycznej i cyfrowej, dlatego działania wymierzone w rosyjskie cele wywołały zdumienie analityków.

Według raportu firmy Symantec, Jewelbug, sponsorowany przez państwo zespół powiązany z chińskim aparatem wywiadowczym, prowadził intensywną kampanię cyberszpiegowską w wielu regionach świata – od Azji Południowej po Amerykę Południową, a ostatnio także w Rosji.

Pięć miesięcy ukrytej infiltracji

Symantec ustalił, że na początku 2025 roku Jewelbug przeniknął do sieci rosyjskiego dostawcy usług IT i pozostawał tam nieprzerwanie przez co najmniej pięć miesięcy. Hakerzy uzyskali dostęp do repozytoriów kodu i środowisk kompilacji oprogramowania, które mogły zostać wykorzystane do ataków na klientów firmy. Analiza wskazuje, że operacja była starannie zaplanowana i miała charakter strategiczny. Tego rodzaju infiltracja w sektorze IT stwarza ryzyko rozprzestrzenienia złośliwego oprogramowania w łańcuchach dostaw, co czyni ją wyjątkowo niebezpieczną.

Ślady w postaci złośliwego pliku 7zup.exe

Przełom w śledztwie nastąpił, gdy badacze bezpieczeństwa odkryli w systemach rosyjskiego dostawcy plik o nazwie 7zup.exe. Analiza wykazała, że był to przekształcony plik binarny Microsoft Console Debugger (CDB). To narzędzie wykorzystywane przez programistów do diagnostyki błędów zostało zmodyfikowane w celu uruchamiania kodu powłoki i omijania zabezpieczeń systemowych. Symantec wskazał, że używanie zmienionej nazwy pliku cdb.exe stanowi charakterystyczny element działań Jewelbuga. Microsoft w odpowiedzi zalecił blokowanie uruchamiania CDB w środowiskach produkcyjnych oraz ograniczanie dostępu do niego tylko dla zaufanych użytkowników.

Zaawansowane techniki ukrywania śladów

Po uzyskaniu dostępu hakerzy wykorzystali narzędzie CDB do pozyskania danych uwierzytelniających, eskalacji uprawnień i utrzymania stałej obecności w systemie. W celu zatarcia śladów wyczyścili dzienniki zdarzeń systemu Windows, a do wyprowadzania danych użyli chmury Yandex. Wybór rosyjskiego dostawcy usług w chmurze pozwolił im pozostać niezauważonymi, ponieważ transfery do tej platformy nie wzbudzały podejrzeń w lokalnych sieciach. Badacze podkreślają, że takie wykorzystanie infrastruktury krajowej jest jedną z bardziej wyrafinowanych metod maskowania aktywności.

Chińskie motywy i możliwe konsekwencje

Zainteresowanie chińskich grup szpiegowskich rosyjskimi celami może mieć wiele przyczyn. Eksperci nie wykluczają, że Jewelbug działał na zlecenie służb, które dążą do pozyskania informacji z rosyjskich sieci obronnych i przemysłowych. Inna interpretacja sugeruje testowanie odporności rosyjskich systemów na wypadek przyszłych konfliktów interesów między Pekinem a Moskwą. Niezależnie od motywacji, atak ten pokazuje, że współpraca polityczna nie zawsze przekłada się na zaufanie w cyberprzestrzeni.