Onderzoekers hebben drie cyberspionagecampagnes onthuld die gericht waren op het compromitteren van netwerken van grote telecommunicatiebedrijven.
Op dinsdag publiceerde Cybereason Nocturnus een nieuw rapport over de cyberaanvallers, waarvan wordt aangenomen dat ze werken voor “Chinese staatsbelangen” en geclusterd onder de naam “DeadRinger”.
Volgens het cyberbeveiligingsbedrijf zijn de “voorheen ongeïdentificeerde” campagnes gecentreerd in Zuidoost-Azië – en op een vergelijkbare manier als hoe aanvallers toegang tot hun slachtoffers hebben beveiligd via een gecentraliseerde leverancier in het geval van SolarWinds en Kaseya, richt deze groep zich op telco's.
Cybereason gelooft dat de aanvallen het werk zijn van APT-groepen (Advanced Persistent Threat) die banden hebben met Chinese staatssponsoring vanwege overlappingen in tactiek en technieken met andere bekende Chinese APT's.
Er zijn drie clusters van activiteit gedetecteerd, waarvan de oudste voorbeelden dateren uit 2017. De eerste groep, vermoedelijk beheerd door of onder de Soft Cell APT, begon zijn aanvallen in 2018.
De tweede cluster , naar verluidt het handwerk van Naikon, dook op en begon in het laatste kwartaal van 2020 telco's te staken, tot nu toe. De onderzoekers zeggen dat Naikon mogelijk in verband wordt gebracht met het militaire bureau van het Chinese Volksbevrijdingsleger (PLA).
Cluster C voert sinds 2017 cyberaanvallen uit en wordt toegeschreven aan APT27/Emissary Panda, geïdentificeerd via een unieke achterdeur die werd gebruikt om Microsoft Exchange-servers te compromitteren tot Q1 2021.
Technieken die in het rapport worden genoemd, waren onder meer de exploitatie van kwetsbaarheden in Microsoft Exchange Server – lang voordat ze openbaar werden gemaakt – de inzet van de China Chopper-webshell, het gebruik van Mimikatz om referenties te verzamelen, de creatie van Cobalt Strike-bakens en achterdeuren om verbinding maken met een command-and-control (C2)-server voor data-exfiltratie.
Cybereason zegt dat het doel van het compromitteren van telecombedrijven bij elke aanvalsgolf was om “cyberspionage te vergemakkelijken door gevoelige informatie te verzamelen, waardoor hoge -profileer bedrijfsactiva zoals de factureringsservers die Call Detail Record (CDR)-gegevens bevatten, evenals belangrijke netwerkcomponenten zoals de domeincontrollers, webservers en Microsoft Exchange-servers.”
In sommige gevallen overlapte elke groep en werden ze tegelijkertijd in dezelfde doelomgevingen en eindpunten gevonden. Het is echter niet mogelijk om definitief te zeggen of ze al dan niet zelfstandig werkten of allemaal in opdracht van een andere, centrale groep.
“Of deze clusters daadwerkelijk met elkaar verbonden zijn of onafhankelijk van elkaar opereren, is op het moment van schrijven van dit rapport niet helemaal duidelijk”, zeggen de onderzoekers. “We hebben verschillende hypothesen aangeboden die deze overlappingen kunnen verklaren, in de hoop dat na verloop van tijd meer informatie beschikbaar zal komen voor ons en voor andere onderzoekers die zullen helpen om licht op dit raadsel te werpen.”
Vorige en gerelateerde berichtgeving
De kosten van bedrijfsgegevensinbreuken bereikten recordhoogte tijdens de COVID-19-pandemie
WhatsApp-chef zegt overheidsfunctionarissen, Amerikaanse bondgenoten doelwit van Pegasus-spyware
Chinese APT LuminousMoth misbruikt Zoom-merk om overheidsinstanties aan te vallen
>
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
China Security TV Data Management CXO Datacenters 