26 June 2019

Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Nejméně 10 velkých telekomunikačních společností, působících po celém světě, se stalo oběťmi masivní kampaně kybernetické špionáže. Tento útok zahrnuje krádeže záznamů hovorů od poskytovatelů hackovaných mobilních sítí, kteří provádějí cílené sledování zajímavých osob. Kampaň přezdívaná “Operace Softcell“ byla odhalena kybernetickou bezpečnostní společnosti Cybereason při vyšetřování narušení sítě nového telekomunikačního zákazníka. Na základě nástrojů a TTP (Taktika, Technika, Procedura) použitých při útocích, se firma zabývající se výzkumem bezpečnosti domnívá, že „Operace Softcell“ je prací čínské skupiny známé jako APT10.

Podle rozsáhlé zprávy Cybereason, hackeři měli přístup po dobu minimálně dvou let do sítě přibližně 10 mobilních operátorů v Africe, Evropě, Středním východě a v Asii, kde získali obrovské množství záznamů o hovorech, včetně časů, dat hovorů a jejich lokací. Útočníci se pokoušeli ukrást všechna data uložená v aktivním adresáři, ohrožující každé uživatelské jméno a heslo, spolu s dalšími osobními údaji – fakturační údaje, záznamy podrobností o volání, pověření, e-mailové servery, geografické umístění uživatelů a více.

Útočníci získali více než 100 GB dat od telekomunikační společnosti a využili svého přístupu k záznamům o podrobnostech volání, aby sledovali pohyby a interakce vysoko postavených osob z různých zemí. První pokus o ohrožení cílové sítě byl neúspěšný. Hackeři následně opakovali své útoky ještě dvakrát v obdobím delším než 4 měsíce.

Prvotním indikátorem útoku byl škodlivý webový shell, zjištěný na IIS serveru mobilního operátora. Tento shell je upravená verze webového shellu China Chopper, který se dříve objevoval v útocích prováděných několika hackingovými skupinami. V této konkrétní kampani byl China Chopper používán k provádění průzkumných příkazů a kradení pověření pomocí široké škály nástrojů. Jedním z příkazů k průzkumu bylo spuštění modifikovaného nbtscan. Tento nástroj byl také používán skupinou APT10 v operaci “Cloud Hopper”.

Další fáze útoku zahrnovala upravenou verzi (maybemimi.exe.) programu Mimikatz, RAT Poison Ivy a Samsung RunHelper.exe podepsaný důvěryhodným certifikátem.

Přečíst všechny články

Poslední posty

Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Kybernetická špionážní kampaň Buhtrap využila nedávno opravený zero-day ve Windows

Využití pro CVE-2019-1132 vytvořeno skupinou Buhtrap zavisí na objektech vyskakovacích oken.
12 July 2019
Magecart zasáhla přes 960 obchodů s elektronikou

Magecart zasáhla přes 960 obchodů s elektronikou

8 July 2019
Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Globální mobilní telekomunikace se staly oběťmi čínské kybernetické špionáže

Čínská skupina APT10 monitorovala záznamy uživatelských hovorů kompromitované mobilní sítí.


26 June 2019