Kinesiske trusselsaktører traff store telekom

Sikkerhetsforskere publiserte informasjon om tre forskjellige, men sannsynligvis koblede cyberkampanjer med fokus på spionasje. Alle angrepene har vært fokusert på å infiltrere nettverkene til store telekommunikasjonsforetak.

Forskere med sikkerhetsfirmaet Cybereason publiserte en lang rapport om angrepene, og kalte samlet trusselaktørene bak dem DeadRinger. Forskere mener DeadRinger består av en ring av APT -er som ligger i Kina og utfører angrep "på vegne av kinesiske statsinteresser".

Troen på at trusselaktørene er knyttet til kinesiske statsstøttede operasjoner stammer fra det faktum at det er delt taktikk og metoder observert med andre kinesiske trusselaktører.

Rapporten skisserer tre klynger av aktivitet. Trusselsaktørene knyttet til disse klyngene er Soft Cell, Naikon og Emissary Panda. Til sammen strekker de tre aktivitetsklyngene seg fra 2018 til første halvdel av 2021.

Noen av teknikkene som er skissert i rapporten inkluderer misbruk av null-dagers sårbarheter i MS Exchange Server, bruk av China Chopper-nettskallet og bruk av beacons som er opprettet med den legitime programvaren for sårbarhetstest av Cobalt Strike.

Det endelige målet med alle angrepene var cyberspionage og høsting av privilegert informasjon og bedriftshemmeligheter. Merkelig nok ble det registrert tilfeller der alle tre APT -ene ble funnet i samme kompromitterte nettverk, samtidig.

Dette er fremdeles ikke vanskelig bevis på at de tre DeadRinger -trusselaktørene alle jobbet i et koordinert press og for den samme sentrale enheten som orkestrerte dem.

Forskere håper at ytterligere analyse av den ondsinnede aktiviteten i de kompromitterte telenettverk og miljøer vil bidra til å belyse de eksakte omstendighetene ved angrepene.