Три группировки правительственных хакеров в Китае атаковали местных телеком-гигантов
АРТ-группировки Group-3390 (она же APT27 / Emissary Panda), Naikon и Soft Cell, предположительно связанные с китайским правительством, за последние годы атаковали минимум пять крупных телекоммуникационных провайдеров в Юго-Восточной Азии. Новую кампанию, которая получила название DeadRinger, выявили эксперты Cybereason Nocturnus.
Для получения доступа ко внутренним системам компаний хакеры использовали те же уязвимости в серверах Microsoft Exchange, что и группировкой Hafnium ранее в этом году. По словам исследователей, это международные компании, которые обслуживают десятки миллионов клиентов.
Целью вторжения был кибершпионаж путём сбора конфиденциальной информации, компрометации важных бизнес-ресурсов, таких как серверы биллинга, содержащих подробные записи о звонках (Call Detail Record), и ключевых сетевых компонентов, включая контроллеры домена, веб-серверы и серверы Microsoft Exchange.
Исследователи заметили сходство между действиями трёх группировок. Атаки происходили разными методами, но на одни и те же инфраструктуры примерно в одно и то же время и даже на одинаковые объекты. Работали ли группировки по отдельности или их действия были скоординированы, точно сказать нельзя — прямых подтверждений последнему в Cybereason не нашли.
Самые ранние атаки восходят к 2017 году. В случае обнаружения хакеры быстро адаптировались и меняли тактику, чтобы скрывать следы своей активности и сохранять доступ к взломанным системам.
Исследователи считают, что проникнуть в системы компаний им было нужно для установления слежки за конкретными лицами и организациями, например политическими деятелями и активистами, чиновниками, диссидентами, правоохранительными органами и корпорациями в интересах властей Китая.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.