Киберсигурността продължава да бъде критична сфера, в която държавно подкрепяни хакерски групи развиват нови техники за проникване и контрол върху мрежи. През 2025 г. специалисти в областта забелязаха активност на китайския хакерски актьор Webworm, който използва иновативен метод за управление на зловреден софтуер, базиран на комуникация през популярни платформи като Discord и Microsoft Graph API.
Какво се случи?
Webworm, известен от 2022 г. и свързван с кибершпионаж срещу правителствени агенции, внедри нови бекдори, наречени EchoCreep и GraphWorm. Тези зловредни програми използват Discord – платформа за гласова и текстова комуникация, популярна сред геймърите, както и Microsoft Graph API – интерфейс за достъп до данни и услуги в облачните решения на Microsoft, за да осъществяват командно-контролни операции.
Използването на тези легитимни платформи за комуникация позволява на Webworm да заобикаля традиционните системи за откриване на заплахи, тъй като трафикът изглежда нормален и не предизвиква подозрения. Това прави атаките по-трудни за идентифициране и блокиране от страна на защитните механизми в мрежите на целите.
Защо това е важно?
Новият подход на Webworm подчертава еволюцията в тактиките на киберпрестъпниците и държавните хакерски групи. Използването на широко разпространени и доверени платформи като Discord и Microsoft Graph API за командно-контролни комуникации увеличава риска от успешни атаки, особено срещу институции с чувствителна информация.
Това налага на организациите да преразгледат своите стратегии за киберзащита, като включат мониторинг на трафика към и от такива платформи, както и да развият по-усъвършенствани методи за откриване на аномалии в поведението на мрежовите комуникации.
По-широк контекст
Webworm е част от по-голяма тенденция на държавно спонсорирани хакерски групи, които използват сложни и иновативни техники за проникване в мрежи на правителствени и корпоративни обекти. Тези групи често се фокусират върху кибершпионаж и кражба на интелектуална собственост, което има сериозни последици за националната сигурност и икономиката.
Използването на облачни услуги и популярни комуникационни платформи като част от инфраструктурата за командно-контролни операции става все по-разпространено, което изисква по-голяма координация между доставчиците на услуги и организациите за сигурност.
Какво може да последва?
Очаква се, че подобни техники ще се развиват и ще бъдат използвани от други хакерски групи, което ще изисква засилване на киберзащитата и по-голяма осведоменост сред организациите. Възможно е доставчиците на платформи като Discord и Microsoft да въведат допълнителни мерки за сигурност и мониторинг, за да предотвратят злоупотреби.
От своя страна, правителствата и компаниите трябва да инвестират в обучение на специалисти и внедряване на по-усъвършенствани системи за откриване на заплахи, които да могат да идентифицират подобни сложни атаки навреме.
В заключение, активността на Webworm и използването на нестандартни комуникационни канали за управление на зловреден софтуер подчертават необходимостта от постоянно развитие на киберзащитата и адаптиране към новите предизвикателства в дигиталната сигурност.
