Κινέζοι ηθοποιοί απειλών χτύπησαν τις μεγάλες τηλεπικοινωνίες
Οι ερευνητές ασφαλείας δημοσίευσαν πληροφορίες για τρεις διαφορετικές, αλλά πιθανώς συνδεδεμένες καμπάνιες στον κυβερνοχώρο που επικεντρώθηκαν στην κατασκοπεία. Όλες οι επιθέσεις επικεντρώθηκαν στην διείσδυση στα δίκτυα μεγάλων τηλεπικοινωνιακών επιχειρήσεων.
Οι ερευνητές της εταιρείας ασφαλείας Cybereason δημοσίευσαν μια εκτενή έκθεση για τις επιθέσεις, αποκαλώντας συλλογικά τους φορείς απειλής πίσω τους DeadRinger. Οι ερευνητές πιστεύουν ότι το DeadRinger περιλαμβάνει ένα κύκλωμα APT που βρίσκονται στην Κίνα και εκτελούν επιθέσεις "για λογαριασμό των κινεζικών κρατικών συμφερόντων".
Η πεποίθηση ότι οι φορείς απειλής συνδέονται με κινεζικές κρατικές επιχειρήσεις προέρχεται από το γεγονός ότι υπάρχουν κοινές τακτικές και μέθοδοι που παρατηρούνται με άλλους κινέζους φορείς απειλής.
Η έκθεση περιγράφει τρεις ομάδες δραστηριοτήτων. Οι φορείς απειλής που σχετίζονται με αυτά τα συμπλέγματα είναι οι Soft Cell, Naikon και Emissary Panda. Συνολικά, οι τρεις ομάδες δραστηριοτήτων εκτείνονται από το 2018 έως το πρώτο εξάμηνο του 2021.
Ορισμένες από τις τεχνικές που περιγράφονται στην έκθεση περιλαμβάνουν την κατάχρηση ευπάθειας μηδενικών ημερών στον MS Exchange Server, τη χρήση του κελύφους ιστού China Chopper και τη χρήση φάρων που δημιουργήθηκαν χρησιμοποιώντας το νόμιμο λογισμικό δοκιμής ευπάθειας Cobalt Strike.
Ο τελικός στόχος σε όλες τις επιθέσεις ήταν η κατασκοπεία στον κυβερνοχώρο και η συλλογή προνομιακών πληροφοριών και εταιρικών μυστικών. Περιέργως, υπήρξαν καταγεγραμμένες περιπτώσεις όπου και τα τρία APT βρέθηκαν στο ίδιο παραβιασμένο δίκτυο, ταυτόχρονα.
Αυτό δεν είναι ακόμα ισχυρή απόδειξη ότι οι τρεις ηθοποιοί απειλής DeadRinger δούλευαν όλοι σε μια συντονισμένη ώθηση και για την ίδια κεντρική οντότητα που τους ενορχήστρωσε.
Οι ερευνητές ελπίζουν ότι η περαιτέρω ανάλυση της κακόβουλης δραστηριότητας στα παραβιασμένα τηλεπικοινωνιακά δίκτυα και περιβάλλοντα θα βοηθήσει να διαφωτίσει περισσότερο τις ακριβείς συνθήκες των επιθέσεων.
