Chinese dreigingsactoren raken grote telecombedrijven
Beveiligingsonderzoekers publiceerden informatie over drie verschillende, maar waarschijnlijk gekoppelde cybercampagnes gericht op spionage. Alle aanvallen waren gericht op het infiltreren van de netwerken van grote telecommunicatiebedrijven.
Onderzoekers van beveiligingsbedrijf Cybereason publiceerden een uitgebreid rapport over de aanvallen en noemden gezamenlijk de dreigingsactoren achter hen DeadRinger. Onderzoekers geloven dat DeadRinger bestaat uit een ring van APT's die zich in China bevinden en aanvallen uitvoeren "namens Chinese staatsbelangen".
De overtuiging dat de dreigingsactoren gelinkt zijn aan door de Chinese staat gesponsorde operaties vloeit voort uit het feit dat er gedeelde tactieken en methoden zijn waargenomen met andere Chinese dreigingsactoren.
Het rapport schetst drie clusters van activiteiten. De dreigingsactoren die bij deze clusters horen, zijn Soft Cell, Naikon en Emissary Panda. Gezamenlijk strekken de drie activiteitenclusters zich uit van 2018 tot de eerste helft van 2021.
Enkele van de technieken die in het rapport zijn geschetst, zijn onder meer het misbruik van zero-day-kwetsbaarheden in MS Exchange Server, het gebruik van de China Chopper-webshell en het gebruik van beacons die zijn gemaakt met behulp van de legitieme Cobalt Strike-software voor het testen van kwetsbaarheden.
Het uiteindelijke doel van alle aanvallen was cyberspionage en het verzamelen van bevoorrechte informatie en bedrijfsgeheimen. Vreemd genoeg waren er gevallen geregistreerd waarbij alle drie de APT's tegelijkertijd in hetzelfde gecompromitteerde netwerk werden gevonden.
Dit is nog steeds geen hard bewijs dat de drie DeadRinger-bedreigingsactoren allemaal in een gecoördineerde push werkten en voor dezelfde centrale entiteit die hen orkestreerde.
Onderzoekers hopen dat verdere analyse van de kwaadaardige activiteit in de gecompromitteerde telecomnetwerken en -omgevingen meer licht zal werpen op de exacte omstandigheden van de aanvallen.