DeadRinger: Chinese APT’s vallen grote telecombedrijven aan

Onderzoekers hebben drie cyberspionagecampagnes onthuld die gericht waren op het compromitteren van netwerken van grote telecommunicatiebedrijven.

Op dinsdag publiceerde Cybereason Nocturnus een nieuw rapport over de cyberaanvallers, waarvan wordt aangenomen dat ze werken voor “Chinese staatsbelangen” en geclusterd onder de naam “DeadRinger”.

Volgens het cyberbeveiligingsbedrijf zijn de “voorheen ongeïdentificeerde” campagnes gecentreerd in Zuidoost-Azië – en op een vergelijkbare manier als hoe aanvallers toegang tot hun slachtoffers hebben beveiligd via een gecentraliseerde leverancier in het geval van SolarWinds en Kaseya, richt deze groep zich op telco’s.

Cybereason gelooft dat de aanvallen het werk zijn van APT-groepen (Advanced Persistent Threat) die banden hebben met Chinese staatssponsoring vanwege overlappingen in tactieken en technieken met andere bekende Chinese APT’s.

Er zijn drie clusters van activiteit gedetecteerd, waarvan de oudste voorbeelden dateren uit 2017. De eerste groep, waarvan wordt aangenomen dat deze wordt beheerd door of onder de Soft Cell APT, begon zijn aanvallen in 2018.

Het tweede cluster, naar verluidt het werk van Naikon, dook op en begon in het laatste kwartaal van 2020 telco’s aan te vallen, tot nu toe. De onderzoekers zeggen dat Naikon mogelijk in verband wordt gebracht met het militaire bureau van het Chinese Volksbevrijdingsleger (PLA).

Cluster C voert sinds 2017 cyberaanvallen uit en wordt toegeschreven aan APT27/Emissary Panda, geïdentificeerd via een unieke achterdeur die tot Q1 2021 werd gebruikt om Microsoft Exchange-servers te compromitteren.

Technieken die in het rapport worden genoemd, waren onder meer de exploitatie van kwetsbaarheden in Microsoft Exchange Server – lang voordat ze openbaar werden gemaakt – de inzet van de China Chopper-webshell, het gebruik van Mimikatz om referenties te verzamelen, de creatie van Cobalt Strike-bakens en achterdeuren om maak verbinding met een command-and-control (C2) -server voor gegevensexfiltratie.

Cybereason zegt dat het doel van het compromitteren van telecommunicatiebedrijven bij elke aanvalsgolf was om “cyberspionage te vergemakkelijken door gevoelige informatie te verzamelen, waardoor spraakmakende bedrijfsmiddelen in gevaar worden gebracht, zoals de factureringsservers die Call Detail Record (CDR) -gegevens bevatten, evenals belangrijke netwerkcomponenten zoals de domeincontrollers, webservers en Microsoft Exchange-servers.”

In sommige gevallen overlapte elke groep en werden ze tegelijkertijd in dezelfde doelomgevingen en eindpunten gevonden. Het is echter niet mogelijk om definitief te zeggen of ze al dan niet zelfstandig werkten of allemaal in opdracht van een andere, centrale groep.

“Of deze clusters daadwerkelijk met elkaar verbonden zijn of onafhankelijk van elkaar opereren, is op het moment van schrijven van dit rapport niet helemaal duidelijk”, zeggen de onderzoekers. “We hebben verschillende hypothesen aangeboden die deze overlappingen kunnen verklaren, in de hoop dat na verloop van tijd meer informatie beschikbaar zal komen voor ons en voor andere onderzoekers die zullen helpen om licht te werpen op dit raadsel.”

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini