Хакеры незаметно проникли в более чем дюжину операторов мобильной связи по всему миру, получив полный контроль над сетями за спинами компаний. Злоумышленники используют его в течение последних семи лет для кражи конфиденциальных данных, но имеют настолько большой контроль, что могут в любой момент обрушить связь, сообщает Cybereason, охранная компания из Бостона.
Исследователи безопасности из компании во вторник заявили, что они расследуют кампанию под названием Operation Softcell, где хакеры нацелены на телефонных операторов в Европе, Азии, Африке и на Ближнем Востоке. Хакеры заразили несколько мобильных операторов с 2012 года, получив контроль и перехватив сотни гигабайт данных о людях.
Это знаменует собой потенциально серьезное нарушение — с еще большими последствиями — поскольку компании из разных отраслей пытаются найти способы защиты данных своих клиентов. Хакеры также имели высокопривилегированный доступ, имея возможность сделать больше, чем просто украсть информацию.
«У них есть все имена пользователей и пароли, и они создали для себя кучу доменных привилегий с более чем одним пользователем», — говорит Амит Серпер, глава исследования безопасности Cybereason. «Они могут делать все, что захотят. Поскольку у них есть такой доступ, они могут отключить сеть завтра, если захотят».
Украдены гигабайты данных
В США кибератаки на инфраструктуру являются проблемой национальной безопасности, так как хакеры нашли способы отключить электрические сети и получить доступ к водным плотинам. Министерство внутренней безопасности США создало свой собственный центр для борьбы с атаками на инфраструктуру, который, как он признал, является частой целью для хакеров. Если злоумышленник закроет телефонные сети, это может вызвать серьезные сбои и проблемы со связью.
Серпер сказал, что он не нашел никаких мобильных операторов в США, которые пострадали, но хакерская кампания продолжается, и, возможно, всё ещё может измениться. В то время как они были в состоянии нарушить сетевые сигналы, хакеры были больше сосредоточены на шпионаже, чем на срыве.
Получив доступ к внутренним серверам мобильных операторов, хакеры получат доступ к записям данных о вызовах сотен миллионов клиентов. Это обеспечит такую информацию, как данные геолокации, журналы вызовов и записи текстовых сообщений.
Хотя хакеры имели доступ к данным миллионов людей, они украли данные только у менее чем 100 пострадавших. По словам Мор Леви, вице-президента Cybereason по вопросам безопасности, злоумышленники, по всей вероятности, были направлены против крупных жертв, связанных с правительством и военными.
Эти данные могут обновляться в режиме реального времени, если мобильные операторы не поймут, что их взломали.
«Взлом компании, имеющей множество данных, которые постоянно обновляются, является святым Граалем для спецслужб», — сказал Серпер. «Речь идет не только о получении этого доступа, но и о поддержании его».
Как атаки совершаются
Исследователи Cybereason обнаружили, что злоумышленники получили доступ к более чем дюжине операторов мобильной связи, используя старые уязвимости, такие как вредоносное ПО, скрытое в файле Microsoft Word, или обнаружение открытого публичного сервера, принадлежащего компании.
После того, как они проникли, вредоносная программа распространяется, ища все компьютеры в одной сети и пытаясь получить доступ, наводняя их попытками входа в систему. Он продолжает распространяться до тех пор, пока учетные данные работают, пока хакеры не достигнут базы данных записей данных вызывающей стороны.
Используя этот доступ, хакеры также создавали для себя учетные записи с повышенными привилегиями, по существу скрываясь от фактического персонала компании. Даже если компании примут меры для устранения своих уязвимостей, хакеры могут оставаться в сети в течение многих лет после исправления.
Поскольку метод атаки был таким изощренным и целенаправленным, исследователи Cybereason считают, что хакеры были поддержаны государством-нацией. Все признаки цифровой криминалистики указывают на Китай — используемое вредоносное ПО, метод атаки и серверы, на которых эти атаки, привязаны к APT10, элитной хакерской группе Китая.
Но нет прямых улик, связывающего хакеров национального государства с этой хакерской кампанией. Исследователи считают, что несмотря на то, что хакеры используют китайские вредоносные программы и серверы, злоумышленник — это группа, пытающаяся выдать себя за APT10.
«Поскольку инструменты, которые мы видели, были утечкой и общедоступны для всех, кто хочет получить эти инструменты, это может быть любой, кто хочет выглядеть как APT10», — сказал Леви.
Что делать
Cybereason сказал, что он охватил все затронутые операторы мобильной связи, хотя неясно, какие исправления они могли бы внедрить, чтобы остановить вторжение.
Леви рекомендовал всем операторам мобильной связи строго контролировать свои интернет-свойства, особенно серверы. Операторы мобильной связи также должны искать учетные записи, которые имеют высокий уровень доступа.
Серпер сказал, что расследование продолжается, и он продолжает находить всё больше компаний, взломанных этой группой с каждым днем. Серверы хакеров всё ещё работают, отметил он.
Он отметил, что для людей, которые отслеживаются в результате кражи данных, они почти ничего не могут сделать, чтобы защитить себя от шпионажа. Жертвы даже не смогут узнать, что их записи данных о вызовах украдены у мобильных операторов.
«На вашем телефоне не остаётся следов. Они точно знают, где вы находитесь и с кем разговариваете, и при этом они не установили никакой части кода на ваш телефон», — сказал Серпер.
