I ricercatori hanno rivelato tre campagne di spionaggio informatico incentrate sulla compromissione delle reti appartenenti alle principali società di telecomunicazioni.
Martedì, Cybereason Nocturnus ha pubblicato un nuovo rapporto sugli aggressori informatici, che si ritiene lavorino per “interessi statali cinesi” e raggruppati sotto il nome di “DeadRinger”.
Secondo la società di sicurezza informatica, le campagne “precedentemente non identificate” sono incentrate nel sud-est asiatico e, in modo simile a come gli aggressori hanno garantito l'accesso alle loro vittime attraverso un fornitore centralizzato nei casi di SolarWinds e Kaseya, questo gruppo prende di mira le telecomunicazioni.
Cybereason ritiene che gli attacchi siano opera di gruppi di minacce persistenti avanzate (APT) legati alla sponsorizzazione statale cinese a causa di sovrapposizioni di tattiche e tecniche con altri noti APT cinesi.
Sono stati rilevati tre gruppi di attività con gli esempi più antichi che sembrano risalire al 2017. Il primo gruppo, che si ritiene sia gestito da o sotto l'APT Soft Cell, ha iniziato i suoi attacchi nel 2018.
Il secondo gruppo , che si dice sia opera di Naikon, è emerso e ha iniziato a colpire le società di telecomunicazioni nell'ultimo trimestre del 2020, continuando fino ad ora. I ricercatori affermano che Naikon potrebbe essere associato all'ufficio militare dell'Esercito Popolare di Liberazione Cinese (PLA).
Il terzo cluster conduce attacchi informatici dal 2017 ed è stato attribuito ad APT27/Emissary Panda, identificato tramite una backdoor univoca utilizzata per compromettere i server Microsoft Exchange fino al primo trimestre del 2021.
Le tecniche annotate nel rapporto includevano lo sfruttamento delle vulnerabilità di Microsoft Exchange Server – molto prima che fossero rese pubbliche – l'implementazione della web shell China Chopper, l'uso di Mimikatz per raccogliere credenziali, la creazione di beacon Cobalt Strike e backdoor per connettersi a un server di comando e controllo (C2) per l'esfiltrazione dei dati.
Cybereason afferma che in ogni ondata di attacco, lo scopo di compromettere le aziende di telecomunicazioni era quello di “facilitare lo spionaggio informatico raccogliendo informazioni sensibili, compromettendo l'alta -profilare le risorse aziendali come i server di fatturazione che contengono i dati del Call Detail Record (CDR), nonché i componenti di rete chiave come i controller di dominio, i server Web e i server Microsoft Exchange.”
In alcuni casi, ogni gruppo si sovrapponeva e veniva trovato negli stessi ambienti di destinazione ed endpoint, allo stesso tempo. Tuttavia, non è possibile dire con certezza se lavorassero o meno in modo indipendente o se fossero tutti sotto l'istruzione di un altro gruppo centrale.
“Se questi cluster siano effettivamente interconnessi o gestiti indipendentemente l'uno dall'altro non è del tutto chiaro al momento della stesura di questo rapporto”, affermano i ricercatori. “Abbiamo offerto diverse ipotesi che possono spiegare queste sovrapposizioni, sperando che con il passare del tempo saranno rese disponibili maggiori informazioni a noi e ad altri ricercatori che aiuteranno a far luce su questo enigma.”
Precedente e copertura correlata
Il costo della violazione dei dati aziendali ha raggiunto livelli record durante la pandemia di COVID-19
Il capo di WhatsApp afferma che funzionari governativi e alleati statunitensi presi di mira dallo spyware Pegasus
L'APT cinese LuminousMoth abusa del marchio Zoom per prendere di mira le agenzie governative
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
China Security TV Data Management CXO Data Center 