全球電信運營商長期受到情報收集組織的網絡攻擊
責編:gltian |2019-07-02 15:44:10Soft Cell行動使全球電信運營商被竊取了超過100GB的通話記錄數據,但情況本可以更糟。如果攻擊者愿意,他們可以關閉手機網絡。
人們發現了一場針對全球電信運營商的長期大規模攻擊。這個被網絡安全公司Cybereason稱為 Soft Cell 行動的攻擊從電信運營商手中竊取了數百GB的信息。該公司表示,攻擊者完全控制了入侵的網絡,如果他們愿意,可以輕松破壞整個蜂窩網絡。
今天,移動通訊服務是一項關鍵的基礎設施”,Cybereason首席安全研究員Amit Serper,同時也是這份報告的作者表示。“真正讓我擔心的是他們擁有的訪問權限——他們對網絡擁有全部訪問權限。他們能做的最糟糕的事就是破壞它,在某一天讓整個網絡都癱瘓。
Cybereason沒有透露這10家受到攻擊的電信運營商的名字,但是Serper表示,這些企業遍布歐洲、亞洲、中東和非洲。該公司表示,還沒有發現北美的企業受到攻擊的證據。該公司認為這次攻擊與黑客組織APT10在此前的攻擊中使用的工具、策略和程序相似。
攻擊者能夠“完全控制”電信網絡
據Cybereason稱,攻擊者已經竊取了超過100GB的信息,其中大部分是以通話詳細記錄(CDR)的形式被泄露的。攻擊者很可能是為一家情報機構工作,并且此次攻擊時間跨度可能長達7年。“這是一次復雜的攻擊,不是一場張揚的活動”,Serper表示。“這是一次情報收集機構的戰略行動。”
CDR包括呼叫和消息日志、設備信息和發射塔位置數據,這些數據可以提供一部電話及其所有者的物理位置。這種元數據雖然不能提供關于電話和發送中消息內容有關信息,但可以提供一個人詳細的活動和個人聯系網情況。他們認為這次攻擊是出于情報原因而非財務原因。“這些記錄基本上包含了你的手機發送和接收以及來自蜂窩網絡本身的所有原始信息和原始數據”。
據報道,攻擊者在網絡進行偵察和傳播之前,通過一個易受攻擊且面向公眾的服務器獲得了訪問權限。通過竊取憑證,他們能夠創建高權限的域用戶帳戶。“他們有自己的域管理帳戶,他們已經滲透了整個Active Directory數據庫,所以他們可以訪問Active Directory中的每一條記錄。”
盡管攻擊者的目標似乎是收集情報,但他們能夠完全控制網絡,如果他們愿意,可以關閉整個服務。“他們能夠完全控制網絡。今天他們可以獲得CDR,但明天他們可以關閉整個網絡,如果他們想要的話。”
情報收集可能正在進行中
該組織的攻擊至少專門針對了20個人的CDR信息,這表明這是一次代表某個機構進行的針對性攻擊,而不是什么投機行為。“他們沒有追蹤支付數據,也沒有竊取任何信用卡信息”,Serper表示。“他們偷走了CDR,這是非常、非常、非常具體的東西,而從我之前為一家情報機構進行情報收集有關工作的經驗來看,CDR對情報機構非常有用。”
Cybereason已對這一行動進行了9個月的調查,并已通知自己的客戶以及其他他們認為可能受到攻擊的企業。由于調查仍在進行中,該公司不能透露受到影響的網絡是否得到了修復。
Serpe表示感染指標尚未公布,因為這些攻擊的目標性質會暴露受害者,但他表示,Cybereason最近確實與全球25大電信運營商的領導進行了會面,向他們提供了攻擊的細節。
“公司應該審核誰有權訪問保存CDR的數據庫,并進行密切的監視”,Serper建議道。“確保所有面向外部的服務器都打好了補丁,并且上面沒有易受攻擊的代碼。”
APT10
雖然在這種情況下很難確定攻擊源,而且此次攻擊可能是由一個組織模仿其他組織進行的,但Cybereason表示,這次攻擊“非常有可能”是由國家或國家支持的組織發起的,該公司認為這個組織很可能是APT10。
APT10,也被稱為Menupass Team,至少從2009年就開始活躍,該組織此前的目標是建筑和工程、航空航天和電信企業,以及美國、歐洲和日本政府。
2016年,APT10發起了一次的針對托管服務提供商(MSP)的攻擊,普華永道(PwC)將此次活動稱為Operation Cloud Hopper 。涉及的惡意軟件包括Haymaker、Snugride、Bugjuice和Quasarrat。
在這次攻擊中,該組織使用了已知工具的定制版本,其中很多工具經常出現中國相關的攻擊者活動中。這些工具包括一個定制版的Poison Ivy訪問工具(RAT)、China Chopper web shell、一個經過修改的nbtscan工具,以及一個“高度修改和定制”版本的憑證竊取工具Mimikatz。
Serper表示,除了確保這些工具能在他們所針對的環境中工作外,很多修改行為都是為了避免被安全工具檢測到。該組織行動緩慢,有時行動之間間隔長達幾個月。“這就是我們所說的低速和慢速攻擊。有時他們需要定制工具,以便讓他們的工具在網絡中正常工作,有時他們可能認為自己被檢測到了,所以他們做了一些調整,這樣他們就不會被發現。”
Cybereason認為,攻擊者可能在被入侵的網絡上潛伏長達7年之久。“在一些入侵活動中,我們發現了舊版本的惡意軟件,它們與早在7年前也就是2012年的入侵活動相吻合。”
雖然這可能不是確定攻擊時間的一個明確指標,但攻擊者潛伏時間足夠長,認為他們覺得有必要安裝自己的VPN系統,以便更輕松地訪問網絡。
如果他們已經在網絡上潛伏7年,而他們的訪問權限還在,也許他們認為自己是不可戰勝的,他們會變得有些自大。七年的時間誰不會呢?
電信行業需要提高網絡安全水平
盡管最近對5G和電信安全的關注主要集中在華為身上,但此次攻擊表明,在下一代蜂窩網絡普及之前,電信運營商仍在忙于安全問題。根據efficientIP 2018年全球DNS威脅報告,三分之一的電信運營商在過去12個月里有敏感客戶信息丟失。
在最近的一次活動中,NCSC首席執行官Ciaran Martin表示,“在過去電信市場的運作中存在一個結構性和持續性的問題,這并沒有促進網絡安全。我們需要借此機會,從根本上改變我們在電信安全工作上的模式,將網絡安全和彈性融入我們的基礎設施。因此,5G安全遠比華為重要。”
當被問及糟糕的安全工作是否促成了Soft Cell行動成功時,Seper為電信運營商進行了辯護。“如果一個民族國家有興趣進入某個地方,他們就會入侵。這只是時間的問題,以及取決于他們想投入的精力和資源。最終,他們會獲得訪問權限。我不認為這一定能說明被攻擊一方的安全狀況。”