Hlavní navigace

Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

26. 6. 2019 12:28 Cybersecurity Help

Nejméně 10 velkých telekomunikačních společností, působících po celém světě, se stalo oběťmi masivní kampaně kybernetické špionáže. Tento útok zahrnuje krádeže záznamů hovorů od poskytovatelů hackovaných mobilních sítí, kteří provádějí cílené sledování zajímavých osob. Kampaň přezdívaná “Operace Softcell“ byla odhalena kybernetickou bezpečnostní společnosti Cybereason při vyšetřování narušení sítě nového telekomunikačního zákazníka. Na základě nástrojů a TTP (Taktika, Technika, Procedura) použitých při útocích, se firma zabývající se výzkumem bezpečnosti domnívá, že „Operace Softcell“ je prací čínské skupiny známé jako APT10.

Podle rozsáhlé zprávy Cybereason, hackeři měli přístup po dobu minimálně dvou let do sítě přibližně 10 mobilních operátorů v Africe, Evropě, Středním východě a v Asii, kde získali obrovské množství záznamů o hovorech, včetně časů, dat hovorů a jejich lokací. Útočníci se pokoušeli ukrást všechna data uložená v aktivním adresáři, ohrožující každé uživatelské jméno a heslo, spolu s dalšími osobními údaji – fakturační údaje, záznamy podrobností o volání, pověření, e-mailové servery, geografické umístění uživatelů a více.

Útočníci získali více než 100 GB dat od telekomunikační společnosti a využili svého přístupu k záznamům o podrobnostech volání, aby sledovali pohyby a interakce vysoko postavených osob z různých zemí. První pokus o ohrožení cílové sítě byl neúspěšný. Hackeři následně opakovali své útoky ještě dvakrát v obdobím delším než 4 měsíce.

Prvotním indikátorem útoku byl škodlivý webový shell, zjištěný na IIS serveru mobilního operátora. Tento shell je upravená verze webového shellu China Chopper, který se dříve objevoval v útocích prováděných několika hackingovými skupinami. V této konkrétní kampani byl China Chopper používán k provádění průzkumných příkazů a kradení pověření pomocí široké škály nástrojů. Jedním z příkazů k průzkumu bylo spuštění modifikovaného nbtscan. Tento nástroj byl také používán skupinou APT10 v operaci “Cloud Hopper”.

Další fáze útoku zahrnovala upravenou verzi (maybemimi.exe.) programu Mimikatz, RAT Poison Ivy a Samsung RunHelper.exe podepsaný důvěryhodným certifikátem.

Sdílet

Žádné názory