Аналитики компании Cybereason выяснили, что за последние годы по меньшей мере пять крупных провайдеров телекоммуникационных услуг из Юго-Восточной Азии, обслуживающие десятки миллионов клиентов, были взломаны как минимум тремя разными китайскими хак-группами.
«Основываясь на нашем анализе, мы считаем, что целью злоумышленников, стоящих за этими взломами, было получение и поддержание устойчивого доступа к сетям поставщиков телекоммуникационных услуг, а также кибершпионаж, сбор конфиденциальной информации и компрометация важных бизнес-активов, включая биллинговые серверы, которые содержат данные Call Detail Record (CDR), а также ключевые сетевые компоненты, такие как контроллеры домена, веб-серверы и серверы Microsoft Exchange.
На данный момент эти атаки кажутся отправной точкой крупной шпионской кампании. Все мы носим в кармане устройство, которое знает, где мы находимся, где мы были и с кем», — рассказываю специалисты.
Обнаруженные атаки связывают с тремя хак-группами:
Эти группировки использовали разные методы для взлома одних и тех же телекоммуникационных компаний, а некоторые из них оставались активны в сетях жертв в течение многих лет, причем некоторые взломы произошли еще в 2017 году.
Все группировки связывают с правительством Китая, и они не только часто используют схожие инструменты и тактики, но атаковали одни и те же цели одновременно. Так, присутствие разных хакеров было замечено на одних и тех же эндпоинтах одновременно. Однако неясно, были ли злоумышленники проинструктированы атаковать телекоммуникационные компании по отдельности, или атаки координировались из единого источника.
Эксперты предполагают, что все эти атаки могли быть связаны, однако в беседе с журналистами издания The Record они признали, что неоспоримых доказательств этой теории у них пока нет:
«Мы не наблюдали прямого взаимодействия между этими кластерами. И это вопрос на миллион долларов. Может возникнуть соблазн сказать, что все они связаны, и рассматривать все это как одну большую атаку. Однако, основываясь на нашей телеметрии, мы не наблюдали прямой связи и “дымящегося пистолета” между этими тремя кластерами . Но это не означает, что они не связаны. На самом деле, что мы просто не знаем. Одна из причин, по которой мы решили поделиться своими выводами с сообществом, — это надежда на то, что со временем, возможно, новая информация прольет свет на эти интересные совпадения».