全球电信运营商长期受到情报收集组织的网络攻击

Soft Cell行动使全球电信运营商被窃取了超过100GB的通话记录数据,但情况本可以更糟。如果攻击者愿意,他们可以关闭手机网络。

人们发现了一场针对全球电信运营商的长期大规模攻击。这个被网络安全公司Cybereason称为 Soft Cell 行动的攻击从电信运营商手中窃取了数百GB的信息。该公司表示,攻击者完全控制了入侵的网络,如果他们愿意,可以轻松破坏整个蜂窝网络。

今天,移动通讯服务是一项关键的基础设施”,Cybereason首席安全研究员Amit Serper,同时也是这份报告的作者表示。“真正让我担心的是他们拥有的访问权限——他们对网络拥有全部访问权限。他们能做的最糟糕的事就是破坏它,在某一天让整个网络都瘫痪。

Cybereason没有透露这10家受到攻击的电信运营商的名字,但是Serper表示,这些企业遍布欧洲、亚洲、中东和非洲。该公司表示,还没有发现北美的企业受到攻击的证据。该公司认为这次攻击与黑客组织APT10在此前的攻击中使用的工具、策略和程序相似。

攻击者能够“完全控制”电信网络

据Cybereason称,攻击者已经窃取了超过100GB的信息,其中大部分是以通话详细记录(CDR)的形式被泄露的。攻击者很可能是为一家情报机构工作,并且此次攻击时间跨度可能长达7年。“这是一次复杂的攻击,不是一场张扬的活动”,Serper表示。“这是一次情报收集机构的战略行动。”

CDR包括呼叫和消息日志、设备信息和发射塔位置数据,这些数据可以提供一部电话及其所有者的物理位置。这种元数据虽然不能提供关于电话和发送中消息内容有关信息,但可以提供一个人详细的活动和个人联系网情况。他们认为这次攻击是出于情报原因而非财务原因。“这些记录基本上包含了你的手机发送和接收以及来自蜂窝网络本身的所有原始信息和原始数据”。

据报道,攻击者在网络进行侦察和传播之前,通过一个易受攻击且面向公众的服务器获得了访问权限。通过窃取凭证,他们能够创建高权限的域用户帐户。“他们有自己的域管理帐户,他们已经渗透了整个Active Directory数据库,所以他们可以访问Active Directory中的每一条记录。”

尽管攻击者的目标似乎是收集情报,但他们能够完全控制网络,如果他们愿意,可以关闭整个服务。“他们能够完全控制网络。今天他们可以获得CDR,但明天他们可以关闭整个网络,如果他们想要的话。”

情报收集可能正在进行中

该组织的攻击至少专门针对了20个人的CDR信息,这表明这是一次代表某个机构进行的针对性攻击,而不是什么投机行为。“他们没有追踪支付数据,也没有窃取任何信用卡信息”,Serper表示。“他们偷走了CDR,这是非常、非常、非常具体的东西,而从我之前为一家情报机构进行情报收集有关工作的经验来看,CDR对情报机构非常有用。”

Cybereason已对这一行动进行了9个月的调查,并已通知自己的客户以及其他他们认为可能受到攻击的企业。由于调查仍在进行中,该公司不能透露受到影响的网络是否得到了修复。

Serpe表示感染指标尚未公布,因为这些攻击的目标性质会暴露受害者,但他表示,Cybereason最近确实与全球25大电信运营商的领导进行了会面,向他们提供了攻击的细节。

“公司应该审核谁有权访问保存CDR的数据库,并进行密切的监视”,Serper建议道。“确保所有面向外部的服务器都打好了补丁,并且上面没有易受攻击的代码。”

APT10

虽然在这种情况下很难确定攻击源,而且此次攻击可能是由一个组织模仿其他组织进行的,但Cybereason表示,这次攻击“非常有可能”是由国家或国家支持的组织发起的,该公司认为这个组织很可能是APT10。

APT10,也被称为Menupass Team,至少从2009年就开始活跃,该组织此前的目标是建筑和工程、航空航天和电信企业,以及美国、欧洲和日本政府。

2016年,APT10发起了一次的针对托管服务提供商(MSP)的攻击,普华永道(PwC)将此次活动称为Operation Cloud Hopper 。涉及的恶意软件包括Haymaker、Snugride、Bugjuice和Quasarrat。

在这次攻击中,该组织使用了已知工具的定制版本,其中很多工具经常出现中国相关的攻击者活动中。这些工具包括一个定制版的Poison Ivy访问工具(RAT)、China Chopper web shell、一个经过修改的nbtscan工具,以及一个“高度修改和定制”版本的凭证窃取工具Mimikatz。

Serper表示,除了确保这些工具能在他们所针对的环境中工作外,很多修改行为都是为了避免被安全工具检测到。该组织行动缓慢,有时行动之间间隔长达几个月。“这就是我们所说的低速和慢速攻击。有时他们需要定制工具,以便让他们的工具在网络中正常工作,有时他们可能认为自己被检测到了,所以他们做了一些调整,这样他们就不会被发现。”

Cybereason认为,攻击者可能在被入侵的网络上潜伏长达7年之久。“在一些入侵活动中,我们发现了旧版本的恶意软件,它们与早在7年前也就是2012年的入侵活动相吻合。”

虽然这可能不是确定攻击时间的一个明确指标,但攻击者潜伏时间足够长,认为他们觉得有必要安装自己的VPN系统,以便更轻松地访问网络。

如果他们已经在网络上潜伏7年,而他们的访问权限还在,也许他们认为自己是不可战胜的,他们会变得有些自大。七年的时间谁不会呢?

电信行业需要提高网络安全水平

尽管最近对5G和电信安全的关注主要集中在华为身上,但此次攻击表明,在下一代蜂窝网络普及之前,电信运营商仍在忙于安全问题。根据efficientIP 2018年全球DNS威胁报告,三分之一的电信运营商在过去12个月里有敏感客户信息丢失。

在最近的一次活动中,NCSC首席执行官Ciaran Martin表示,“在过去电信市场的运作中存在一个结构性和持续性的问题,这并没有促进网络安全。我们需要借此机会,从根本上改变我们在电信安全工作上的模式,将网络安全和弹性融入我们的基础设施。因此,5G安全远比华为重要。”

当被问及糟糕的安全工作是否促成了Soft Cell行动成功时,Seper为电信运营商进行了辩护。“如果一个民族国家有兴趣进入某个地方,他们就会入侵。这只是时间的问题,以及取决于他们想投入的精力和资源。最终,他们会获得访问权限。我不认为这一定能说明被攻击一方的安全状况。”

上一篇:隐写术:对网络安全构成严重威胁的图片

下一篇:锐捷网络以最大份额中标中国电信集团2019年WLAN集采