haker grupa atak firma

Kradzież danych przez backdoor: szczegółowa analiza ataku, który wykorzystał lukę w oprogramowaniu (case study)

Posted on by

Opublikowano: 28 grudnia 2025, ostatnio zaktualizowano: 9 stycznia 2026

Współczesne cyberbezpieczeństwo to nieustanny wyścig zbrojeń, a najnowszy incydent z udziałem powiązanej z Chinami grupy Tick dobitnie pokazuje, że stawką są najcenniejsze dane korporacyjne. Hakerzy wykorzystali krytyczną lukę zero-day w oprogramowaniu zarządzającym, aby zainstalować niewykrywalny backdoor i przejąć pełną kontrolę nad systemami ofiar. Poniższa analiza tego ataku to obowiązkowa lektura dla każdego, kto chce zrozumieć mechanizmy dzisiejszego cyberszpiegostwa.

Spis Treści
1 Cicha infiltracja: Jak hakerzy Tick wykorzystali lukę w oprogramowaniu?
2 Anatomia złośliwego systemu backdoor i kradzież danych: techniczne detale i obrona
2.1 Jak się chronić? Wnioski dla firm

Cicha infiltracja: Jak hakerzy Tick wykorzystali lukę w oprogramowaniu?

Grupa hakerska znana jako Tick (a także pod kryptonimami Bronze Butler, REDBALDKNIGHT czy Swirl Typhoon) to weterani cyberszpiegostwa, aktywni w cyfrowym podziemiu co najmniej od 2006 roku. Eksperci ds. bezpieczeństwa i agencje wywiadowcze łączą ich działalność z interesami Chińskiej Republiki Ludowej, a ich głównym celem operacyjnym pozostają organizacje w Azji Wschodniej, ze szczególnym naciskiem na japoński sektor technologiczny i przemysłowy (zob. profil grupy Tick w MITRE ATT&CK.)

W analizowanym przypadku, opisanym szczegółowo przez serwis The Hacker News, atakujący nie użyli prostego phishingu czy siłowego łamania haseł. Zdecydowali się na znacznie bardziej wyrafinowaną i kosztowną metodę – wykorzystanie luki zero-day, czyli błędu w oprogramowaniu, o którym nie wiedział nawet jego producent. Celem stał się Motex Lanscope Endpoint Manager, popularne w korporacjach narzędzie do zarządzania zasobami IT i monitorowania bezpieczeństwa. Wybór tego celu nie był przypadkowy – oprogramowanie to, z natury swojego działania, posiada wysokie uprawnienia w systemie, co czyni je idealnym „kluczem” do królestwa.

Szczegóły techniczne wykorzystanej podatności mrożą krew w żyłach administratorów sieci:

  • Identyfikator CVE: Atak opierał się na luce oznaczonej jako CVE-2025-61932 zob. Raport The Hacker News.
  • Poziom Zagrożenia: Podatność otrzymała wynik 9.3 w skali CVSS, co klasyfikuje ją jako zagrożenie krytyczne.
  • Mechanizm Ataku: Luka pozwalała na zdalne wykonanie kodu (RCE) na serwerach w wersji on-premise. Oznacza to, że napastnik mógł wysłać specjalnie spreparowane żądanie do serwera, które było interpretowane jako polecenie do wykonania, bez konieczności logowania się.
  • Eskalacja Uprawnień: Najgroźniejszym aspektem było to, że złośliwy kod był wykonywany z uprawnieniami SYSTEM. W środowisku Windows są to uprawnienia wyższe niż administratora – dają absolutną, nieograniczoną władzę nad maszyną.

Wykorzystanie tak potężnej luki pozwoliło hakerom na „ciche wejście”. Nie musieli kraść haseł użytkowników ani liczyć na to, że ktoś otworzy zainfekowany załącznik. Włamali się bezpośrednio przez „frontowe drzwi” systemu, które miały być zamknięte. Po uzyskaniu przyczółka, ich priorytetem stało się utrzymanie dostępu, czyli instalacja tzw. persistence. W tym celu użyli swojego flagowego narzędzia – złośliwego oprogramowania typu backdoor.

Anatomia złośliwego systemu backdoor i kradzież danych: techniczne detale i obrona

Głównym narzędziem, które posłużyło do dalszej eksploatacji i kradzieży danych, był Gokcpdoor. Jest to znany badaczom backdoor, który w tej kampanii pojawił się w nowej, znacznie ulepszonej odsłonie. Backdoor ten działa jak „tylne wejście” – pozwala hakerom na powrót do zainfekowanego systemu w dowolnym momencie, omijając standardowe procedury uwierzytelniania.

Wersja z 2025 roku została zmodyfikowana w celu uniknięcia detekcji przez systemy monitorowania sieci. Twórcy złośliwego oprogramowania porzucili starszy protokół KCP na rzecz multipleksowanej komunikacji wykorzystującej bibliotekę smux. To techniczny majstersztyk, który pozwala na ukrycie złośliwego ruchu wewnątrz normalnie wyglądających pakietów danych, czyniąc komunikację z serwerem dowodzenia (C2) trudną do odróżnienia od legalnego ruchu sieciowego.

Proces ataku po zainstalowaniu backdoora przebiegał według ściśle określonego schematu, zwanego Cyber Kill Chain. Hakerzy wykorzystali szereg narzędzi, aby rozszerzyć swoją kontrolę i wykraść cenne informacje:

  • Post-eksploatacja z Havoc: Po uzyskaniu stabilnego połączenia, hakerzy wdrożyli framework Havoc, zaawansowane narzędzie do zarządzania zainfekowanymi maszynami, często używane przez profesjonalne grupy APT (Advanced Persistent Threat).
  • DLL Side-Loading: Aby ukryć uruchamianie złośliwego kodu, wykorzystali technikę DLL side-loading przy użyciu loadera o nazwie OAED Loader. Polega ona na umieszczeniu złośliwej biblioteki DLL w tym samym folderze co legalna, zaufana aplikacja. Kiedy aplikacja jest uruchamiana, nieświadomie ładuje kod hakerów, co pozwala oszukać proste systemy antywirusowe.
  • Kradzież tożsamości (Credential Dumping): Użyto narzędzia open-source goddi, aby zrzucić dane z Active Directory. Pozwoliło to hakerom na mapowanie struktury sieci i przejęcie kont innych użytkowników.
  • Ekfiltracja danych: To, co najbardziej zaskakuje, to sposób wyprowadzania danych. Zamiast wysyłać je na własne serwery, hakerzy wykorzystali publiczne usługi chmurowe. Podczas sesji zdalnego pulpitu (RDP) przesyłali skradzione pliki na serwisy takie jak io, LimeWire czy Piping Server. Jest to technika „living off the land” – wykorzystywanie legalnych narzędzi do celów przestępczych, co bardzo utrudnia wykrycie anomalii przez systemy DLP (Data Loss Prevention).
backdoor schemat wallarm

Schemat działania luki backdoor w praktyce zaprezentowany w serwisie Wallarm (fot. Wallarm)

Jak się chronić? Wnioski dla firm

Analiza ataku na Lanscope jest bolesną lekcją dla sektora bezpieczeństwa. Pokazuje, że poleganie wyłącznie na prewencji jest niewystarczające. Aby skutecznie bronić się przed tak zaawansowanymi aktorami jak Tick, organizacje muszą wdrożyć wielowarstwową strategię obrony:

  1. Zarządzanie Podatnościami (Patch Management): To absolutna podstawa. Firmy korzystające z Motex Lanscope muszą natychmiast zaktualizować oprogramowanie, aby załatać lukę CVE-2025-61932. Opóźnienie w tym zakresie jest zaproszeniem dla hakerów.

  2. Ograniczenie Powierzchni Ataku: Należy krytycznie ocenić, czy serwery zarządzające muszą być widoczne z poziomu publicznego Internetu. Jeśli tak, dostęp do nich powinien być ściśle ograniczony za pomocą list kontroli dostępu (ACL) i chroniony przez VPN oraz wieloskładnikowe uwierzytelnianie (MFA).

  3. Monitoring Behawioralny: Tradycyjne antywirusy mogą nie wykryć niestandardowego backdoora. Kluczowe jest wdrożenie systemów EDR/XDR (Extended Detection and Response), które analizują zachowanie procesów (np. dlaczego legalna aplikacja ładuje nieznaną bibliotekę DLL?) oraz monitorują ruch sieciowy pod kątem anomalii (np. połączenia z smux do nieznanych adresów IP).

  4. Zasada Zero Trust: Atakujący wykorzystali przejęte uprawnienia do poruszania się po sieci. Wdrożenie modelu Zero Trust, w którym żaden użytkownik ani urządzenie nie jest domyślnie zaufane, znacząco utrudnia hakerom tzw. ruch boczny (lateral movement).

Montex oprogramowanie firma

Montex Lanscope to istotne oprogramowanie dla dużych firm (fot. Montex)

Przypadek ten dobitnie przypomina, że backdoor zainstalowany przez lukę w oprogramowaniu to nie tylko problem techniczny, ale realne zagrożenie dla ciągłości biznesowej i tajemnic przedsiębiorstwa. W epoce cyfrowej szpiegostwo nie wymaga fizycznej obecności – wymaga jedynie jednej, niezałatanej luki w kodzie.

Zobacz również tekst Cyberbezpieczeństwo – czym jest i dlaczego jest tak ważne?, aby dowiedzieć się więcej o ochronie własnej firmy przed zagrożeniami ze strony cyberprzestępców i poprawy świadomości na temat ochrony danych własnej firmy w sieci.

Licznik odwiedzin: 200
Tagged , , , .

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *