Три группировки правительственных хакеров в Китае атаковали местных телеком-гигантов

Для получения доступа ко внутренним системам компаний хакеры использовали те же уязвимости в серверах Microsoft Exchange, что и группировкой Hafnium ранее в этом году. По словам исследователей, это международные компании, которые обслуживают десятки миллионов клиентов.

Целью вторжения был кибершпионаж путём сбора конфиденциальной информации, компрометации важных бизнес-ресурсов, таких как серверы биллинга, содержащих подробные записи о звонках (Call Detail Record), и ключевых сетевых компонентов, включая контроллеры домена, веб-серверы и серверы Microsoft Exchange.

Исследователи заметили сходство между действиями трёх группировок. Атаки происходили разными методами, но на одни и те же инфраструктуры примерно в одно и то же время и даже на одинаковые объекты. Работали ли группировки по отдельности или их действия были скоординированы, точно сказать нельзя — прямых подтверждений последнему в Cybereason не нашли. 

Самые ранние атаки восходят к 2017 году. В случае обнаружения хакеры быстро адаптировались и меняли тактику, чтобы скрывать следы своей активности и сохранять доступ к взломанным системам.

Исследователи считают, что проникнуть в системы компаний им было нужно для установления слежки за конкретными лицами и организациями, например политическими деятелями и активистами, чиновниками, диссидентами, правоохранительными органами и корпорациями в интересах властей Китая.