Kinesiske trusselsaktører ramte store telekommunikationer

Sikkerhedsforskere offentliggjorde oplysninger om tre forskellige, men sandsynligvis forbundne cyberkampagner med fokus på spionage. Alle angreb har været fokuseret på at infiltrere netværkene i store telekommunikationsvirksomheder.

Forskere med sikkerhedsfirmaet Cybereason offentliggjorde en lang rapport om angrebene og kaldte samlet trusselsaktørerne bag dem DeadRinger. Forskere mener, at DeadRinger omfatter en ring af APT'er i Kina og udfører angreb "på vegne af kinesiske statsinteresser".

Troen på, at trusselsaktørerne er knyttet til kinesiske statsstøttede operationer, stammer fra, at der er fælles taktik og metoder observeret med andre kinesiske trusselsaktører.

Rapporten skitserer tre klynger af aktivitet. Trusselsaktørerne forbundet med disse klynger er Soft Cell, Naikon og Emissary Panda. Tilsammen strækker de tre klynger af aktivitet sig fra 2018 til første halvdel af 2021.

Nogle af de teknikker, der er blevet skitseret i rapporten, omfatter misbrug af nul-dages sårbarheder i MS Exchange Server, brug af China Chopper-webskal og brug af beacons, der er oprettet ved hjælp af den legitime Cobalt Strike-sårbarhedstestsoftware.

Det endelige mål i alle angrebene var cyberspionage og høst af privilegerede oplysninger og virksomhedshemmeligheder. Mærkeligt nok var der registrerede tilfælde, hvor alle tre APT'er blev fundet i det samme kompromitterede netværk på samme tid.

Dette er stadig ikke et hårdt bevis på, at de tre DeadRinger -trusselsaktører alle arbejdede i et koordineret skub og for den samme centrale enhed, der orkestrerede dem.

Forskere håber, at yderligere analyse af den ondsindede aktivitet i de kompromitterede telekommunikationsnetværk og miljøer vil hjælpe med at kaste mere lys over de nøjagtige omstændigheder ved angrebene.