Hackeři s vazbami na Čínou sponzorovanou skupinu APT15 chtěli ovládnout infrastrukturu SentinelOne a její klienty přes dodavatele hardwarové logistické služby pro zaměstnance.
Praha 15. května 2025 – Neúspěšnou čínskou špionážní kampaň zaměřenou na její infrastrukturu a klienty odhalila americká bezpečnostní společnost SentineOne, jejíž produkty v České republice distribuuje firma APPSEC jako platinový partner. V průběhu roku 2024 SentinelOne zaznamenal útok hackerské skupiny, již označuje jako PurpleHaze, na organizaci, která v minulosti poskytovala hardwarové logistické služby zaměstnancům SentinelOne. PurpleHaze má podle SentinelOne volné vazby na známou hackerskou skupinu APT15 podporovanou čínskou vládou, upozornil web The Hacker News.
Další pokus o útok proběhl v říjnu 2024, kdy se skupina zaměřila na nejmenovaný subjekt podporující jihoasijskou vládu, a útočila pomocí sítě operačních reléových boxů (ORB) a backdooru GoReShell pro Windows. Oba útoky byly neúspěšné a firma s nimi nyní seznámila odbornou veřejnost prostřednictvím analýzy zveřejněné na webu své agentury SentinelLabs. „I když naše vlastní infrastruktura zůstala nedotčena, cílení na externího poskytovatele služeb dříve spojeného s naší obchodní logistikou u nás vzbudilo důležité otázky,“ uvedli bezpečnostní analytici Tom Hegel, Aleksandar Milenkoski a Jim Walter ze SentinelLabs.
Ochrana dodavatelských řetězců dává smysl
Právě dodavatelské řetězce bývají bezpečnostní slabinou velkých firem a institucí po celém světě. Českým Parlamentem nedávno schválený zákon o kybernetické bezpečnosti, který do tuzemské legislativy zavádí evropskou bezpečnostní směrnici NIS 2, proto zavádí zvýšená bezpečnostní opatření i u dodavatelských řetězců vybraných firem. I když jde o kritizovanou část zákona, praxe ukazuje, že má své opodstatnění. V případě SentinelOne ovšem neútočili jen čínští hackeři. Firma také zveřejnila informace o pokusech severokorejských IT expertů získat pracovní místo ve společnosti a infiltrovat ji tak.
SentinelOne zaznamenal více než tisíc žádostí o zaměstnání od přibližně 360 falešných uchazečů, za kterými stáli útočníci z KLDR. Bezpečnostní platforma SentinelOne rovněž čelila speciálně vytvořeným ransomware kampaním, které se snažily proniknout do systému a získat přístup k ovládacím nástrojům SentinelOne, aby mohly vyhodnotit schopnosti tohoto serveru a vyhnout se detekci. Na černém trhu se dokonce objevily služby „EDR Testing-as-a-Service“, které umožňují testovat různé druhy malwaru na bezpečnostních platformách chránících koncové body.
Uživatelé SentinelOne jsou v bezpečí
„I když tyto testovací služby nemusí poskytovat přímý přístup k plně funkčním konzolím nebo agentům EDR, útočníkům poskytují polosoukromé prostředí pro doladění škodlivých kampaní bez hrozby odhalení – což dramaticky zvyšuje šance na úspěch v reálných útocích,“ varovali analytici SentinelLabs. Na druhou stranu se prokázalo, že bezpečnostní platforma SentinelOne založená na umělé inteligenci, která staví na neustálém monitoringu chování chráněné sítě a koncových bodů, dokáže takovým útokům čelit.
„Naši klienti, kteří používají pro kybernetickou ochranu SentinelOne, se nemusí ničeho obávat. Platforma si dokáže s těmito typy útoků poradit,“ ujišťuje Adam Paclt, generální ředitel společnosti APPSEC, mezi jejíž klienty s úspěšně nasazeným řešením SentinelOne patří například Letiště Praha nebo Home Credit.
Více informací o bezpečnostním řešení SentinelOne naleznete zde.
O APPSEC
APPSEC je projekt společnosti Apptc.me s.r.o., která se zabývá privátními a public řešeními pro cloud orchestraci, kde je aspekt bezpečnosti velkou prioritou. Společnost Apptc.me s.r.o. se rozhodla sdílet své zkušenosti s bezpečností prostřednictvím projektu APPSEC a pomáhat tak zákazníkům s širokou škálou palčivých problémů, se kterými se dnes v informační bezpečnosti můžeme setkat.