Китайская APT-группа проникла в сети 10 крупнейших телекоммуникационных компаний
Кибершпионы проникли в сети телекоммуникационных компаний для слежения за конкретными высокопоставленными лицами.
Как сообщают специалисты американо-израильской ИБ-компании Cybereason, китайские кибершпионы внедрились в сети крупнейших мировых телекоммуникационных компаний с целью перехвата информации о конкретных лицах. Киберпреступники находились в сетях телекоммуникационных компаний не менее двух лет. Согласно предварительным подсчетам, им удалось похитить порядка 100 ГБ данных и с помощью подробных данных о вызове (Call Detail Records, CDR) отслеживать передвижения и действия избранных лиц.
Операция была раскрыта, когда в Cybereason обратился новый клиент – некая телекоммуникационная компания. В ходе расследования инцидента специалисты обнаружили, что он распространяется на десять телекоммуникационных компаний в Азии, Африке, Европе и США.
Вице-президент Cybereason Мор Леви (Mor Levi) сообщила, что злоумышленников интересовали конкретные лица, занимающие очень важные посты. «Если бы они проверили свои телефоны на предмет взлома, результат был бы отрицательным. Это взлом без взлома», – отметила Леви.
Кибершпионы скомпрометировали сети телекоммуникационных компаний целиком и полностью. Передвигаясь по боковым каналам, они получили доступ даже к сегментам, отделенным от интернета.
По мнению исследователей, существует «очень большая вероятность», что ответственность за взломы лежит на группировке APT10, действующей в интересах правительства КНР. Также это может быть другая группировка, подражающая APT10 или использующая инструменты из ее арсенала.
Для начала злоумышленники внедряли web-оболочку China Chopper с целью запуска разведывательных команд и похищения учетных данных с помощью нескольких инструментов. Одной из команд был запуск модифицированной версии сканера nbtscan для выявления доступных DNS-серверов NetBIOS, как локальных, так и по всей сети.
По завершении разведывательного этапа кибершпионы похищали хранящиеся на скомпрометированных компьютерах учетные данные. Чаще всего в этих целях злоумышленники использовали утилиту Mimikatz, модифицированную для сбора хешей NTLM.
С более подробным описанием атаки можно ознакомиться в отчете Cybereason.