Gli attori cinesi minacciosi colpiscono le grandi telecomunicazioni
I ricercatori della sicurezza hanno pubblicato informazioni su tre diverse campagne informatiche, ma probabilmente collegate, incentrate sullo spionaggio. Tutti gli attacchi si sono concentrati sull'infiltrazione nelle reti delle grandi imprese di telecomunicazioni.
I ricercatori della società di sicurezza Cybereason hanno pubblicato un lungo rapporto sugli attacchi, chiamando collettivamente gli attori delle minacce dietro di loro DeadRinger. I ricercatori ritengono che DeadRinger comprenda un anello di APT situati in Cina e che eseguano attacchi "per conto degli interessi dello stato cinese".
La convinzione che gli attori della minaccia siano collegati alle operazioni sponsorizzate dallo stato cinese deriva dal fatto che esistono tattiche e metodi condivisi osservati con altri attori cinesi della minaccia.
Il rapporto delinea tre gruppi di attività. Gli attori delle minacce associati a questi cluster sono Soft Cell, Naikon ed Emissary Panda. Complessivamente, i tre cluster di attività si estendono dal 2018 alla prima metà del 2021.
Alcune delle tecniche delineate nel rapporto includono l'abuso delle vulnerabilità zero-day in MS Exchange Server, l'uso della web shell China Chopper e l'uso di beacon creati utilizzando il legittimo software di test di vulnerabilità Cobalt Strike.
L'obiettivo finale di tutti gli attacchi era lo spionaggio informatico e la raccolta di informazioni privilegiate e segreti aziendali. Curiosamente, sono stati registrati casi in cui tutti e tre gli APT sono stati trovati contemporaneamente nella stessa rete compromessa.
Questa non è ancora una prova concreta che i tre attori della minaccia DeadRinger stessero tutti lavorando in una spinta coordinata e per la stessa entità centrale che li orchestrava.
I ricercatori sperano che un'ulteriore analisi dell'attività dannosa nelle reti e negli ambienti di telecomunicazioni compromessi aiuterà a far luce sulle circostanze esatte degli attacchi.
