Atores de ameaças chineses atingem as grandes telecomunicações

Os pesquisadores de segurança publicaram informações sobre três campanhas cibernéticas diferentes, mas provavelmente vinculadas, com foco na espionagem. Todos os ataques têm como foco a infiltração nas redes de grandes empresas de telecomunicações.

Os pesquisadores da empresa de segurança Cybereason publicaram um longo relatório sobre os ataques, chamando coletivamente os atores da ameaça por trás deles de DeadRinger. Os pesquisadores acreditam que DeadRinger compreende um grupo de APTs localizados na China e que executam ataques "em nome dos interesses do Estado chinês".

A crença de que os atores da ameaça estão ligados às operações patrocinadas pelo Estado chinês decorre do fato de que há táticas e métodos compartilhados observados com outros atores da ameaça chineses.

O relatório descreve três grupos de atividades. Os atores de ameaças associados a esses clusters são Soft Cell, Naikon e Emissary Panda. Coletivamente, os três grupos de atividades se estendem de 2018 ao primeiro semestre de 2021.

Algumas das técnicas descritas no relatório incluem o abuso de vulnerabilidades de dia zero no MS Exchange Server, o uso do shell da web China Chopper e o uso de beacons criados com o software de teste de vulnerabilidade Cobalt Strike legítimo.

O objetivo final de todos os ataques era a ciberespionagem e a coleta de informações privilegiadas e segredos corporativos. Curiosamente, houve casos registrados em que todos os três APTs foram encontrados na mesma rede comprometida, ao mesmo tempo.

Isso ainda não é uma prova concreta de que os três atores da ameaça DeadRinger estavam todos trabalhando em um esforço coordenado e para a mesma entidade central que os orquestrou.

Os pesquisadores esperam que uma análise mais aprofundada da atividade maliciosa nas redes e ambientes de telecomunicações comprometidos ajude a esclarecer as circunstâncias exatas dos ataques.