Hakerzy wykradali poufne dane z telekomów. „Zdobyli świętego Graala szpiegostwa”

3 sierpnia 2021, 11:30
businessman-call-mobile-communication-connection-hand
Fot. pxfuel.com

Członkowie grup hakerskich powiązanych z Chinami wykradali poufne dane z telekomów w regionie Azji Południowo-Wschodniej. Swoje działania prowadzili na rzecz realizacji większej operacji szpiegowskiej, wymierzonej w m.in. polityków i organy ścigania, którymi żywo zainteresowany jest rząd w Pekinie.

Na początku 2021 roku specjaliści Cybereason Nocturnus przeanalizował zidentyfikowane włamania, jakie miały miejsce w branży telekomunikacyjnej w regionie Azji Południowo-Wschodniej. Podczas badań eksperci wykryli trzy grupy działań, które były prowadzone przez podmioty działające w interesie Chin.

Wrogie kampanie prowadzono w latach 2017-2021. W niektórych przypadkach hakerzy wykorzystali luki w zabezpieczeniach serwerów Microsoft Exchange. Ich celem było uzyskanie i utrzymanie nieprzerwanego dostępu do dostawców usług telekomunikacyjnych z myślą o szpiegostwie. Mowa tu przede wszystkim o zbieraniu poufnych danych.

Wspólny czas, cel i miejsce

Operacje były prowadzone przez trzy grupy. Jedną z nich jest Soft Cell, aktywna w sieci od 2012 roku. Słynie z cyberataków wymierzonych w telekomy w różnych częściach świata. „Z dużą dozą pewności oceniamy, że Soft Cell prowadzi operacje w interesie Chin” – wskazują specjaliści. W najnowszą kampanię jest zagarażowana od 2018 roku.

Drugą grupą jest Naikon APT. Cybereason definiuje ją jako „wysoce aktywną grupę cyberszpiegowską”, która funkcjonuje od 2010 roku. Jej głównym celem są państwa ASEAN, a eksperci powiązali ją z chińskim wojskiem. Wrogie działania wymierzone w telekomy w Azji Południowo-Wschodniej prowadzi od końca 2020 roku.

Ostatnim elementem jest podmiot „Group-3390”, posługujący się unikalnym backdoorem, który jest instalowany na serwerach Microsoft Exchange. Jego analiza wykazała podobieństwa z wcześniej zidentyfikowanym backdoorem wykorzystywanym podczas kampanii „Iron Triger”, przypisanym chińskiej grupie APT27 (inaczej zwanej „Emissary Panda”). Podmiot ten prowadził działania w ramach najnowszej kampanii od 2017 roku.

W tym miejscu warto podkreślić, że działania prowadzone przez opisane wyżej podmioty miały miejsce mniej więcej w tym samym czasie, były wymierzone w te same cele i dotyczyły identycznych punktów końcowych. Taki stan rzeczy sugeruje, że operacje zostały wcześniej zorganizowane i zlecone przez jednego aktora. Jednak na ten moment specjaliści posiadają zbyt mało danych, aby jednoznacznie ocenić zaistniałą sytuację.

Komunikacja użytkowników w rękach hakerów

Z analizy przeprowadzonej przez Cybereason wynika, że hakerzy przywiązywali dużą wagę do ukrywania swojej aktywności w celu utrzymania trwałego dostępu do konkretnych sieci. W związku z tym dynamicznie reagowali na wszelkie próby „wyparcia” ich z infrastruktury.

Co więcej, w niektórych przypadkach hakerzy wykorzystywali ujawnione w ostatnim czasie luki w Microsoft Exchange. Dzięki temu „wchodzili” do sieci docelowych, aby następnie pozyskiwać poufne informacje z zasobów telekomów, w tym np. dane Call Detail Record (CDR). W ten sposób posiadali dostęp do komunikacji każdego użytkownika, który korzysta z usług firmy będącej celem operacji.

Ponadto, hakerzy po przeniknięciu do sieci w dowolnej chwili mogli wyłączyć lub zakłócić działanie infrastruktury, gdyby tylko postanowili przekształcić operację szpiegowską w bardziej „niszczycielski” cyberatak.

Dlaczego właśnie telekomy były atakowane? Ze względów na szerszą kampanię szpiegowską, która – zdaniem specjalistów – obejmuje m.in. polityków, urzędników państwowych, organy ścigania czy przedsiębiorstwa – generalnie te podmioty, które są przedmiotem zainteresowania rządu w Pekinie.

Lior Div, dyrektor generalny Cybereason, podkreslił, że hakerzy zdobyli „świętego Graala szpiegostwa”, posiadając pełny dostęp i kontrolę nad sieciami telekomunikacyjnymi, do których udało im się przeniknąć. „Te sponsorowane przez państwo operacje szpiegowskie nie tylko źle wpływają na klientów i partnerów biznesowych telekomów, ale mogą także stanowić zagrożenie dla bezpieczeństwa państw w regionie i podmiotów mających żywotny interes w stabilności tej części świata” – dodał.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama
KomentarzeLiczba komentarzy: 1
Polonica
wtorek, 3 sierpnia 2021, 19:31

Już przed rokiem 2009 odnotowywano interakcje z systemami satelitarnymi pomiędzy Gallileo (wcześniejsze jeszcze nie były w pełni zainstalowane ) a chińskim Beidou. Czy jest możliwość, że wspomniane grupy działały wcześniej i to jeszcze przed wejściem Polski do UE lub później wraz z krachem w 2008 roku? Czy takie działania mogły mieć miejsce jeszcze w czasach istnienia bloku wschodniego i za Układu Warszawskiego? Czy częstotliwości a Azji są jednakowe? Podobno testują już 6G? Niepokoją mnie też pociski które paraliżują takie systemy? Czy Polska wcześniej nie zaznała takiego cyberataku? Podobno oddziałują nie tylko na sprzęt, ale także na percepcję ludzi i to bardzo szkodliwie.

Tweets CyberDefence24