Chińscy hakerzy przez 18 miesięcy byli w Microsoft 365 niezauważeni

Przez mniej więcej półtora roku grupa powiązanych z państwem chińskich hakerów czytała firmową pocztę, otwierała wewnętrzne pliki i poruszała się po sieciach przedsiębiorstw, wyglądając dla każdego narzędzia monitorującego jak zwykły pracownik logujący się do pracy. Włamanie, opisane przez firmę bezpieczeństwa Volexity, nie złamało Microsoft 365. Podszyło się pod tych, którzy klucze już mieli.

To rozróżnienie jest całą historią i tłumaczy, dlaczego naruszenie dotyczy każdego, czyja praca toczy się w koncie w chmurze. Microsoft 365 to dziś miejsce, w którym większość firm trzyma pocztę, dokumenty i tożsamość pojedynczego logowania otwierającą wszystko inne. Napastnicy nigdy nie musieli pokonywać tego systemu. Pożyczyli ważne dane logowania i weszli frontowymi drzwiami, a zabezpieczenia mające pytać „czy to naprawdę ty?” uznały, że tak.

Grupa śledzona jest jako UNC5221, znana także jako VerdantBamboo, operacja o chińskim rodowodzie, którą badacze obserwują od lat, bo atakuje urządzenia na obrzeżach sieci firmowych. Jej niedawna kampania uderzyła w kancelarie usług prawnych, firmy programistyczne, dostawców outsourcingu procesów i dostawców technologii. To nie są przypadkowe cele: to organizacje, które przechowują sekrety innych organizacji, od akt klientów po kod źródłowy i klucze sięgające dalszych klientów.

Arsenał tłumaczy, dlaczego dostęp tak długo pozostawał niewidoczny. Sercem zestawu jest furtka o nazwie Brickstorm, napisana najpierw w języku Go, a później przepisana w Rust, instalowana na urządzeniach sieciowych, które rzadko uruchamiają oprogramowanie zabezpieczające i niemal nigdy nie są sprawdzane. W jednym przypadku napastnicy weszli przez system synchronizacji plików Egnyte dostępny przez firmowy VPN. Z tego cichego przyczółka wbudowana funkcja proxy w Brickstorm pozwoliła im kierować swoją aktywność przez samą sieć ofiary, tak że gdy dotarli do Microsoft 365 ze skradzionymi danymi, połączenie wyglądało na lokalne i legalne. Volexity z dużą pewnością ocenia, że było to celowe, sposób na wtopienie się w normalny ruch i ominięcie reguł dostępu warunkowego, które inaczej oznaczyłyby logowanie z niewłaściwego miejsca. Dwa kolejne elementy trzymały drzwi otwarte: furtka w .NET nazwana Plenet, dająca operatorom interaktywną konsolę i kontrolę nad plikami, oraz odwrotna powłoka w Pythonie o nazwie AgentPSD, trzymana w rezerwie. Nadmiarowość była celem. Całość zbudowano tak, by przetrwała wykrycie, a nie by go uniknąć na zawsze.

Najbardziej niewygodny szczegół to rachunek czasu. Wykrycie nastąpiło około osiemnaście miesięcy po pierwszym wejściu. W kampaniach tego typu śledczy zmierzyli średni czas obecności znacznie ponad rok, dość długi, by w wielu przypadkach dzienniki rejestrujące pierwotne włamanie zostały już usunięte przez rutynowe zasady przechowywania, zanim ktokolwiek wiedział, że trzeba spojrzeć. Napastnicy nie tylko się ukryli: przetrwali dowody.

Zasięg wyszedł poza pierwszą ofiarę. W co najmniej jednym przypadku grupa złamała dostawcę usług zarządzanych, zewnętrzną firmę IT obsługującą technologię dziesiątek mniejszych klientów, i umieściła wersję Brickstorm na jego zaporze sieciowej. Pojedyncze włamanie w tym miejscu staje się kluczem uniwersalnym do każdego klienta za nim. To ta część historii, która podróżuje poza Stany Zjednoczone, gdzie znajduje się większość znanych celów. Każda firma, która zleca IT na zewnątrz, czyli niemal każda, dziedziczy bezpieczeństwo dostawcy, do którego wnętrza nie może zajrzeć.

Nic z tego nie jest błędem Microsoft 365, który zamknie łatka. Punktami wejścia były urządzenia firm trzecich i skradzione dane logowania, a chmura zachowała się dokładnie tak, jak zaprojektowano, gdy tylko pojawiło się zaufane logowanie. To trudny problem, który zostawia po sobie ta sprawa. Organizacje bez oprogramowania wykrywającego na serwerach i urządzeniach niemal nie miały szans zobaczyć tej aktywności, a nawet te, które je miały, stanęły wobec operacji zaprojektowanej tak, by wyglądała jak codzienność. Ponieważ było to szpiegostwo, a nie ransomware, nie pojawił się zablokowany ekran ani żądanie okupu, które wymusiłyby alarm: tylko dane wychodzące po cichu tak długo, jak operatorzy chcieli dalej patrzeć.

Włamania wyszły na jaw około marca 2025 roku, a ostrzeżeń od tego czasu przybyło. Między sierpniem 2025 a styczniem 2026 FBI, NSA i amerykańska agencja cyberbezpieczeństwa CISA wydały serię ostrzeżeń o włamaniach sponsorowanych przez chińskie państwo, a CISA osobno zasygnalizowała użycie Brickstorm przeciwko serwerom VMware. Praktyczna rada śledczych jest wąska i mało efektowna: trzymać dzienniki dłużej, niż napastnicy potrafią się ukrywać, i umieścić wykrywanie na cichych urządzeniach na obrzeżach sieci, właśnie tam, gdzie na koniec duchy najchętniej mieszkają.

Tagi: cyberbezpieczeństwo