Chińscy aktorzy zagrożeń uderzają w duże telekomy
Badacze bezpieczeństwa opublikowali informacje na temat trzech różnych, ale prawdopodobnie powiązanych ze sobą kampanii cybernetycznych skoncentrowanych na szpiegostwie. Wszystkie ataki skupiały się na infiltracji sieci dużych przedsiębiorstw telekomunikacyjnych.
Badacze z firmy Cybereason, zajmującej się bezpieczeństwem, opublikowali obszerny raport na temat ataków, wspólnie nazywając stojących za nimi cyberprzestępców DeadRinger. Badacze uważają, że DeadRinger obejmuje pierścień APT zlokalizowanych w Chinach i przeprowadzających ataki „w imieniu chińskich interesów państwowych”.
Przekonanie, że cyberprzestępcy są powiązani z chińskimi operacjami sponsorowanymi przez państwo, wynika z faktu, że istnieją wspólne taktyki i metody obserwowane z innymi chińskimi cyberprzestępcami.
Raport przedstawia trzy skupienia działań. Zagrożenia związane z tymi klastrami to Soft Cell, Naikon i Emissary Panda. Łącznie trzy skupienia działalności rozciągają się od 2018 r. do pierwszej połowy 2021 r.
Niektóre z technik opisanych w raporcie obejmują wykorzystywanie luk zero-day w MS Exchange Server, korzystanie z powłoki internetowej China Chopper oraz wykorzystywanie sygnałów nawigacyjnych utworzonych przy użyciu legalnego oprogramowania do testowania luk w zabezpieczeniach Cobalt Strike.
Ostatecznym celem wszystkich ataków było cyberszpiegostwo oraz zbieranie uprzywilejowanych informacji i tajemnic korporacyjnych. Co ciekawe, odnotowano przypadki, w których wszystkie trzy APT zostały znalezione w tej samej zaatakowanej sieci w tym samym czasie.
To wciąż nie jest twardy dowód na to, że wszyscy trzej aktorzy zagrożeń DeadRinger pracowali w skoordynowanym nacisku i dla tej samej centralnej jednostki, która je aranżowała.
Badacze mają nadzieję, że dalsza analiza szkodliwej aktywności w zaatakowanych sieciach i środowiskach telekomunikacyjnych pomoże rzucić więcej światła na dokładne okoliczności ataków.