Китайские злоумышленники бьют по крупным телекоммуникационным компаниям
Исследователи безопасности опубликовали информацию о трех различных, но, вероятно, связанных кибер-кампаниях, направленных на шпионаж. Все атаки были направлены на проникновение в сети крупных телекоммуникационных предприятий.
Исследователи из охранной фирмы Cybereason опубликовали обширный отчет об атаках, коллективно назвав стоящих за ними злоумышленников DeadRinger. Исследователи полагают, что DeadRinger представляет собой группу APT-атак, расположенных в Китае и осуществляющих атаки «от имени китайских государственных интересов».
Вера в то, что субъекты угрозы связаны с операциями, спонсируемыми государством Китая, проистекает из того факта, что существуют общие тактики и методы, используемые другими китайскими субъектами угроз.
В отчете выделяются три группы деятельности. Агентами угроз, связанными с этими кластерами, являются Soft Cell, Naikon и Emissary Panda. В совокупности три группы деятельности простираются с 2018 до первой половины 2021 года.
Некоторые из методов, описанных в отчете, включают злоупотребление уязвимостями нулевого дня в MS Exchange Server, использование веб-оболочки China Chopper и использование маяков, созданных с помощью легитимного программного обеспечения для тестирования уязвимостей Cobalt Strike.
Конечной целью всех атак был кибершпионаж и сбор конфиденциальной информации и корпоративных секретов. Любопытно, что были зафиксированы случаи, когда все три APT были обнаружены в одной и той же скомпрометированной сети одновременно.
Это все еще не является веским доказательством того, что все три участника угрозы DeadRinger работали согласованно и на одну и ту же центральную организацию, которая их дирижировала.
Исследователи надеются, что дальнейший анализ вредоносной активности в скомпрометированных телекоммуникационных сетях и средах поможет пролить больше света на точные обстоятельства атак.