Xitoyning APT guruhi 10 ta yirik telekompaniyalar tarmoqlariga kirib boradi
Kiberjosuslar telekommunikatsiya kompaniyalari tarmoqlariga kirib, aniq yuqori martabali amaldorlarga josuslik qilishgan.
Cybereason Amerika-Isroil xavfsizlik firmasi ekspertlarining fikricha, xitoylik kiberjosuslar aniq shaxslar haqidagi ma’lumotlarni ushlash maqsadida dunyodagi eng yirik telekommunikatsiya kompaniyalari tarmoqlariga kirib kelgan. Kiberjinoyatchilar kompaniyalar tarmoqlarida kamida ikki yil ishlagan. Dastlabki hisob-kitoblarga ko’ra, ular taxminan 100 Gb ma’lumotni o’g’irlashga va qo’ng’iroqlar tafsilotlari yozuvlari (CDR) yordamida maqsadli shaxslarning harakati va faoliyatini kuzatishga muvaffaq bo’lishgan.
Operatsiya Cybereason yangi mijoz – telekommunikatsiya kompaniyasini qabul qilganida aniqlandi. Tekshiruv davomida mutaxassislar hodisa Osiyo, Afrika, Yevropa va AQShdagi o‘nta telekommunikatsiya kompaniyasiga tegishli ekanligini aniqladi.
Cybereason vitse-prezidenti Mor Levining aytishicha, hujumchilar yuqori lavozimdagi aniq shaxslarni nishonga olgan. «Agar ular telefonlarini xakerlik uchun tekshirganlarida, natijalar salbiy bo’lardi. Bu xakerliksiz buzg’unchilik», – dedi Levi.
Kiberjosuslar telekommunikatsiya kompaniyalari tarmoqlarini butunlay buzgan. Yon kanallar bo’ylab harakatlanish orqali ular hatto internetdan ajratilgan segmentlarga kirish imkoniga ega bo’lishdi.
Tadqiqotchilarning fikricha, buzg‘unchiliklar uchun Xitoy hukumati nomidan ish olib borayotgan APT10 guruhi javobgar bo‘lishi “ehtimoli juda yuqori”. Bu, shuningdek, APT10 ga taqlid qiluvchi yoki uning arsenalidagi vositalardan foydalanadigan boshqa guruh bo’lishi mumkin.
Boshlash uchun hujumchilar Xitoy Chopper veb-qobig’ini bir nechta vositalar yordamida razvedka buyruqlarini ishga tushirish va hisob ma’lumotlarini o’g’irlash uchun joylashtirdilar. Ushbu buyruqlardan biri nbtscan skanerining o’zgartirilgan versiyasini ishga tushirish edi, mahalliy va tarmoq bo’ylab kirish mumkin bo’lgan NetBIOS DNS serverlarini aniqlash.
Razvedka bosqichini tugatgandan so’ng, kiberjosuslar buzilgan kompyuterlarda saqlangan hisob ma’lumotlarini o’g’irlashdi. Ko’pincha hujumchilar NTLM xeshlarini yig’ish uchun o’zgartirilgan Mimikatz yordam dasturidan foydalanganlar.
Hujumning batafsil tavsifini Cybereason hisobotida topish mumkin.
