Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Китайская APT-группа проникла в сети 10 крупнейших мировых телекоммуникационных компаний

26/06/19

sinohack3Как сообщают специалисты американо-израильской ИБ-компании Cybereason, китайские кибершпионы внедрились в сети крупнейших мировых телекоммуникационных компаний с целью перехвата информации о конкретных лицах.

Киберпреступники находились в сетях телекоммуникационных компаний не менее двух лет. Согласно предварительным подсчетам, им удалось похитить порядка 100 ГБ данных и с помощью подробных данных о вызове (Call Detail Records, CDR) отслеживать передвижения и действия избранных лиц.

Операция была раскрыта, когда в Cybereason обратился новый клиент – некая телекоммуникационная компания. В ходе расследования инцидента специалисты обнаружили, что он распространяется на десять телекоммуникационных компаний в Азии, Африке, Европе и США.

Вице-президент Cybereason Мор Леви (Mor Levi) сообщила, что злоумышленников интересовали конкретные лица, занимающие очень важные посты. «Если бы они проверили свои телефоны на предмет взлома, результат был бы отрицательным. Это взлом без взлома», – отметила Леви.

Кибершпионы скомпрометировали сети телекоммуникационных компаний целиком и полностью. Передвигаясь по боковым каналам, они получили доступ даже к сегментам, отделенным от интернета.

По мнению исследователей, существует «очень большая вероятность», что ответственность за взломы лежит на группировке APT10, действующей в интересах правительства КНР. Также это может быть другая группировка, подражающая APT10 или использующая инструменты из ее арсенала.

Для начала злоумышленники внедряли web-оболочку China Chopper с целью запуска разведывательных команд и похищения учетных данных с помощью нескольких инструментов. Одной из команд был запуск модифицированной версии сканера nbtscan для выявления доступных DNS-серверов NetBIOS, как локальных, так и по всей сети.

По завершении разведывательного этапа кибершпионы похищали хранящиеся на скомпрометированных компьютерах учетные данные. Чаще всего в этих целях злоумышленники использовали утилиту Mimikatz, модифицированную для сбора хешей NTLM.

С более подробным описанием атаки можно ознакомиться в отчете Cybereason.

Темы:КитайПреступленияAPT-группы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...