Kinijos grėsmės aktoriai pateko į didelius telekomunikacijas
Saugumo tyrinėtojai paskelbė informaciją apie tris skirtingas, tačiau tikėtinai susijusias kibernetines kampanijas, skirtas šnipinėjimui. Visos atakos buvo nukreiptos į įsiskverbimą į didelių telekomunikacijų įmonių tinklus.
Saugumo firmos „Cybereason“ tyrėjai paskelbė ilgą ataskaitą apie išpuolius, bendrai vadindami už jų esančius grėsmės veikėjus „DeadRinger“. Mokslininkai mano, kad „DeadRinger“ yra Kinijoje esančių APT žiedas, vykdantis atakas „Kinijos valstybės interesų labui“.
Įsitikinimas, kad grėsmės veikėjai yra susiję su Kinijos valstybės remiamomis operacijomis, kyla iš to, kad su kitais Kinijos grėsmės veikėjais laikomasi bendros taktikos ir metodų.
Ataskaitoje pateikiamos trys veiklos grupės. Su šiomis grupėmis susiję grėsmės veikėjai yra „Soft Cell“, „Naikon“ ir „Emissary Panda“. Bendrai trys veiklos grupės tęsiasi nuo 2018 m. Iki 2021 m. Pirmosios pusės.
Kai kurie ataskaitoje aprašyti metodai apima piktnaudžiavimą nulinės dienos pažeidžiamumais „MS Exchange Server“, „China Chopper“ žiniatinklio apvalkalo naudojimą ir švyturių, sukurtų naudojant teisėtą „Cobalt Strike“ pažeidžiamumo testavimo programinę įrangą, naudojimą.
Pagrindinis visų atakų tikslas buvo kibernetinis šnipinėjimas ir privilegijuotos informacijos bei įmonių paslapčių rinkimas. Įdomu tai, kad buvo užfiksuota atvejų, kai visi trys APT buvo rasti tame pačiame pažeistame tinkle tuo pačiu metu.
Tai vis dar nėra tvirtas įrodymas, kad visi trys „DeadRinger“ grėsmės veikėjai dirbo koordinuotai ir siekė to paties centrinio subjekto, kuris juos organizavo.
Mokslininkai tikisi, kad tolesnė kenkėjiškos veiklos analizė pažeistuose telekomunikacijų tinkluose ir aplinkoje padės geriau išsiaiškinti tikslias išpuolių aplinkybes.