IDGNS
Долгосрочные, крупномасштабные нападения телекоммуникационных компаний во всем мире, был обнаружен. Атака, получившая название Операция мягкая клетку безопасности фирма Cybereason, увидел сотни гигабайт информации эксфильтрацию. Компания утверждает, что нападавшие имели полный контроль над зараженным сети и мог легко сбил всю сотовых сетей, если они того пожелают.
“Сотовая связь сегодня является критической инфраструктуры”, — говорит Амит Серпер, главный исследователь безопасности в Cybereason и автор доклада. “То, что волнует меня, так это количество доступа у них-полный доступ у них к сети. Самое худшее, что они могут сделать, это сорвать и однажды просто закрыли всю сеть”.
Cybereason не назвали десять участвующих компаний, но Серпер говорит, что они охватывают Европу, Азию, Ближний Восток и Африка. Компания говорит, что до сих пор не нашли доказательств североамериканских компаний компрометации.
Новый Наш игровой сайт жив! Сайт сайт GameStar обложки игр, игровых гаджетов и снаряжения. Подпишитесь на нашу рассылку и мы пришлем наших лучших материалов прямо на ваш почтовый ящик. Узнайте больше здесь.
Компания приписывая нападение на китайский аффилированных APT10 актер угрозу, основанную на подобии инструменты, тактики и процедуры, используемые в предыдущих атаках отнести к группе.
Субъекты угрозы получить “полный контроль” телекоммуникационных сетей
По данным Cybereason, злоумышленники ускользнул за 100ГБ информации в основном в виде записи о вызовах (CDR) и, вероятно, от имени разведывательного управления, потенциально за период времени, охватывающий семь лет. “Это сложные атаки, а не шумной активности”, — говорит Серпер. “Это стратегическая операция для сбора разведывательного управления”.
Кдрс относятся журналов вызовов и сообщений, информации устройства и расположения данных, что может обеспечить физическое местоположение телефона и его владельца. Эти метаданные, в то время как не предоставление информации о содержании звонков и сообщений, могут обеспечить детальную картину движений человека и персональные сети, предполагая, что работа была сделана для разведки, а не финансовым причинам. “Эти записи есть в принципе все исходные данные и метаданные сырья, что ваш телефон отправляет и получает от самой сотовой сети.
Злоумышленники, как сообщается, получили доступ к через уязвимые общедоступном сервере, прежде чем вести разведку и пропаганду через сеть. Скомпрометировать учетные данные, они смогли создать высоко-привилегированные учетные записи пользователей домена. “Они имеют свои собственные учетные записи администратора домена, они уже ускользнул всю активную базу данных каталога, поэтому они имеют доступ к каждой записи в активный каталог.”
Хотя кажется, что цели угроза актеры разведки, группа получила полный контроль над сетью и может закрыли услуги, если они того желают. “Они имеют полный контроль над сетью. Сегодня они выкачивания из вызовов, но завтра они могут закрыть сети, если они хотят.”
Сбор информации может быть постоянной
Целевых групп не менее 20 человек специально для их соответствующих ЦХД информации, предполагая, что это было целенаправленное нападение от имени агентства, а не что-либо конъюнктурщик. “Они не были после оплаты данные, они не крали кредитные карты”, — говорит Серпер. “Вызовах Они украли, что очень, очень, очень конкретной, и, в своей прежней жизни, работающих на спецслужбу, связанные с сбор разведывательных данных и является очень полезным для спецслужб”.
Cybereason расследует эту операцию в течение девяти месяцев и уведомил обоих своих клиентов и других компаний, которые были определены как потенциально скомпрометированы. Как расследование продолжается, компания не могла сказать, если нападения был восстановлен на поврежденных сетях.
Показатели компромисса так и не были выпущены в качестве Серпер говорит о целенаправленном характере этих актов позволит выявить жертв, но говорит Cybereason недавно встретиться с руководителями 25 крупнейших телекоммуникационных компаний в мире, чтобы обеспечить им подробности нападения.
“Компании должны проверять, кто имеет доступ к их базам данных, которые содержат ЦХД и следить за ними очень внимательно”, — советует Серпер. “Убедитесь, что все внешние сервера являются полностью пропатченный и нет уязвимого кода на них.”
Кто APT10?
В то время как атрибуция представляет собой трудную задачу при таких обстоятельствах и теракт мог быть проведен другой группой, используя подражатель тактика, Cybereason говорит, что может претендовать “с очень высокой вероятностью”, что это нападение было государство-нация или нация-государство-обеспеченные лица, в компании уверены, что это был скорее APT10.
“Инструменты и поведение и процедур, тактика, все указывает на Китай и на самом деле указывает на конкретные группы. Мы думаем, что это APT10, но это также может быть APT3”, — говорит Серпер.
APT10, также известное как команда Menupass, была активна как минимум с 2009 года, и считается действующим от имени Китая. Ранее группа целевых строительстве и машиностроении, аэрокосмической отрасли и телекоммуникационных компаний, а также правительств США, Европы и Японии.
В 2016 году они были названы как за кампанию, ориентированную на поставщиков управляемых услуг (СМП) окрестили операцию облако Хоппер компанией ПрайсуотерхаусКуперс. Вирус включает в себя сенокосе, Snugride, муравьиный сок и Quasarrat. В декабре 2018 года, два китайских лиц, обвиняемых является частью APT10 и работе с Министерством государственной безопасности Китая был обвинен Департаментом юстиции США.
Для этой атаки, группа использовала специальные версии известных средств, которые регулярно используются в нападения, приписываемые китайского-связанные субъекты угрозы. Они включают в себя специальную версию инструмента яд удаленный доступ плющ (крыса), Китай веб-измельчитель раковина, модифицированный nbtscan инструмент, и “очень сильно изменены и настроены” версия краже учетных данных Mimikatz-инструмент.
Серпер говорит, а также обеспечение инструменты работали в той среде, где они были таргетинга, многие из изменений были избегать обнаружения продуктов безопасности. Группа двигалась медленно, иногда ждут месяцами между действиями. “Это то, что мы называем низкой и медленной атакой. Иногда им надо настроить инструменты для того, чтобы их инструменты, чтобы работать внутри сети, иногда они могут думать, что они были выявлены, поэтому они изменили несколько вещей, чтобы они не были обнаружены”.
Cybereason считаем, нападавшие могли быть на взломанных сетей на протяжении семи лет. “Теннесси некоторые из нарушений, мы нашли старых версий вредоносных программ, которые соответствуют нарушения, как семь лет назад, в 2012.”
Хотя это не может быть четким индикатором сроков нападения, субъекты угрозы были достаточно долго, чтобы чувствовать это стоило устанавливать свой собственный ВПН системы, чтобы дать себе более легкий доступ к сети.
“Это очень нагло. Если они были в сети в течение семи лет, и их по-прежнему доступ существует, может быть, они думают, что они неуязвимы и они вам немного дерзким. Кто не будет через семь лет?”
Счет необходимо активизировать свои усилия в области кибербезопасности
Хотя в последнее время внимание на 5г и безопасности телекоммуникаций была на Хуавей, это нападение показывает, телекоммуникационных компаний по-прежнему играет в догонялки вокруг безопасности в преддверии следующего поколения сотовой связи. По данным доклада Глобального опасный 2018 ДНС EfficientIP, треть телекоммуникационных компаний потеряли конфиденциальную информацию о клиентах за последние 12 месяцев.
На недавнем мероприятии, генеральный директор ННКЦ Киран Мартин заявил, “Есть структурные и постоянные проблемы в сторону рынков телекоммуникаций работали в прошлом, который не стимулировали достаточно хорошо кибербезопасности. Мы должны использовать эту возможность в корне изменить способ, которым мы делаем телекоммуникационной безопасности выпекать в области кибер-безопасности и устойчивости в нашу инфраструктуру. Так, есть гораздо больше для безопасности 5г, чем Хуавэй”.
Когда его спросили, если низкий уровень безопасности способствовали успеху операции мягкие ячейки, Серпер защищал телекоммуникационных компаний. “Если нация-государство заинтересовано в получении куда-нибудь, они будут. Это всего лишь вопрос времени и количества усилий и ресурсов, которые они хотят ввести. В конце концов, это произойдет и они получат доступ. Я не думаю, что он обязательно говорит что-нибудь о безопасности атакуемой организации”.
Эта история, «телекоммуникационные компании по всему миру нажмите на масштабное, длительное время разведку кибератаки» был первоначально опубликован
Ого.
