Компанията за информационна сигурност и защита Cyberreason алармира за открита от тях дългогодишна атака, насочена към водещи телекомуникационни доставчици от цял свят.
Operation Soft Cell, както е името на операцията, засяга данните на стотици милиони клиенти на въпросните телекоми, като Cynerreason са уверени, че източник на атаките са конкретна китайска APT (advanced persistent threat), групировка, свързваща се с Китайската народна армия. Въпросната кампания води началото си от 2012, а вероятно и по-рано, като целите ѝ са проследяването на конкретни високопоставени личности. Приписването на отговорност на китайски военни хакери се дължи на използвания инструментариум, инфраструктура и подход във въпросните акции. Авторите на кампанията събират с години данни от въпросните доставчици, свързани с локализиране на входящи и изходящи обаждания, местоположение на клетките, различни метаданни, информация за устройствата, с които техните цели разговарят и др.
Атакуващата страна използва като първоначален вектор за атака екслпоатиране на уязвимост в сървър на компанията, който е открит към Интернет, след което започват опознавтелни действия и същинското проникване в мрежата на телекома. За тази цел те използват публично достъпни инструменти, както и вътрешни програми на Windows, RAT (remote access trojan) програми, такива, с които улесняват шпионажа си. В някои случаи, те преодоляват неудобството да използват хакнати сървъри и машини, за да осъществяват връзка с превзетата мрежа, инсталирайки VPN, за директен контакт с целите си.
„Съвсем ясно е“, споделя пред The Register Амот Серпер от Cyberreason. „Те виждат, че трябва да търпят огромни забавяния с използването на хакнати машини и си казват: „Хайде да инсталираме VPN и да се свърши с това“. Нямам си идея дали въобще някой в тези компании извършва мрежов мониторинг на входящите и изходящите връзки“. Освен сериозния набор от техники и инструменти, които използва атакуващата страна, при каквото и да е подозрение, че операциите им могат да бъдат осуетени, те се скриват в мрежата на жертвата си, изчаквайки понякога с месеци преди отново да започнат с действията си по извличане на данните и изпращането им към контролните сървъри на операцията.
Не се съобщават имената на засегнатите компании и държавите, в които са проведени акциите на атакуващата страна, но се уточнява, че става дума за данните на стотици милиони абонати на тези компании по цял свят.
Амид Серпер от Cyberreason изразява страховете си, че с това високо ниво на достъп до телекомуникационните мрежи, хакерите могат да извършат не само шпионски действия, а нещо далеч по-сериозно.
„Ако имат възможността да правят това, те имат ниво на достъп, за да саботират цялата мрежа. Клетъчната мрежа е критична инфраструктура, така че това е и което ме тревожи“, споделя Серпер за Dark Reading.
