Prej neznan akter grožnje cilja na telekomunikacijska podjetja na Bližnjem vzhodu v nečem, kar se zdi kibernetska vohunska kampanja, podobna mnogim, ki so v zadnjih letih prizadele telekomunikacijske organizacije v več državah.
Raziskovalci iz SentinelOne, ki so opazili novo kampanjo, so rekli, da jo spremljajo kot WIP26, oznako, ki jo podjetje uporablja za dejavnost, ki je ni uspelo pripisati nobeni določeni skupini kibernetskih napadov.
Ta teden so v poročilu zapisali, da so imeli opazovali WIP26 z uporabo javne infrastrukture v oblaku za dostavo zlonamerne programske opreme in shranjevanje eksfiltriranih podatkov ter za namene ukazovanja in nadzora (C2). Prodajalec varnosti je ocenil, da akter grožnje uporablja taktiko – tako kot mnogi drugi danes – da se izogne odkrivanju in oteži opazovanje njegove dejavnosti v ogroženih omrežjih.
»Dejavnost WIP26 je pomemben primer akterjev groženj, ki nenehno inovirajo svoje TTP [taktike, tehnike in postopki] v poskusu, da bi ostali prikriti in se izognili obrambi,« so sporočili iz podjetja.
Ciljni napadi na telekomunikacije Bližnjega vzhoda
Napadi, ki jih je opazil SentinelOne, so se običajno začeli s sporočili WhatsApp, usmerjenimi na določene posameznike znotraj ciljnih telekomunikacijskih podjetij na Bližnjem vzhodu. Sporočila so vsebovala povezavo do arhivske datoteke v Dropboxu, ki naj bi vsebovala dokumente o temah, povezanih z revščino, ki so pomembne za regijo. Toda v resnici je vključeval tudi nalagalnik zlonamerne programske opreme.
Uporabniki, ki so bili prevarani, da so kliknili povezavo, so imeli na koncu nameščeni dve zadnji vrati v svojih napravah. SentinelOne je našel enega od njih, sleden kot CMD365, z uporabo poštnega odjemalca Microsoft 365 kot svoj C2, in druga stranska vrata, poimenovana CMDEmber, z uporabo primerka Google Firebase za isti namen.
Prodajalec varnosti je WIP26 opisal kot uporabo stranskih vrat za izvajanje izvidovanja, zvišanje privilegijev, nameščanje dodatne zlonamerne programske opreme - in za krajo uporabnikovih zasebnih podatkov brskalnika, informacij o sistemih visoke vrednosti v omrežju žrtve in drugih podatkov. SentinelOne je ocenil, da veliko podatkov, ki sta jih oba backdoora zbirala iz sistemov in omrežja žrtev, kaže, da se napadalec pripravlja na prihodnji napad.
"Začetni vdorni vektor, ki smo ga opazili, je vključeval natančno ciljanje," je dejal SentinelOne. "Poleg tega ciljanje na ponudnike telekomunikacij na Bližnjem vzhodu nakazuje, da je motiv za to dejavnostjo povezan z vohunjenjem."
Telekomunikacijske družbe so še naprej priljubljene tarče vohunjenja
WIP26 je eden od mnogih akterjev groženj, ki so v zadnjih nekaj letih ciljali na telekomunikacijska podjetja. Nekaj novejših primerov - kot niz napadov na avstralska telekomunikacijska podjetja, kot je Optus, Telestrain Dialog - so bili finančno motivirani. Varnostni strokovnjaki so na te napade opozorili kot na znak povečanega zanimanja za telekomunikacijska podjetja med kiberkriminalci, ki želijo ukrasti podatke strank ali ugrabiti mobilne naprave prek t.i Sheme zamenjave SIM.
Pogosteje pa sta bila kibernetsko vohunjenje in nadzor glavna motivacija za napade na ponudnike telekomunikacij. Prodajalci varnosti so poročali o več kampanjah, pri katerih so napredne trdovratne skupine groženj iz držav, kot so Kitajska, Turčija in Iran, vdrle v omrežje ponudnika komunikacij, da bi lahko vohunile za posamezniki in skupinami, ki so v interesu njihovih vlad.
En primer je Operacija Mehka celica, kjer je skupina s sedežem na Kitajskem vdrla v omrežja večjih telekomunikacijskih podjetij po vsem svetu, da bi ukradla zapise podatkov o klicih, da bi lahko sledila določenim posameznikom. V drugi kampanji je grožnja sledila kot Lahka kotlina ukradel identiteto mobilnega naročnika (IMSI) in metapodatke iz omrežij 13 večjih operaterjev. Kot del kampanje je povzročitelj grožnje namestil zlonamerno programsko opremo v omrežja operaterjev, ki mu je omogočila prestrezanje klicev, besedilnih sporočil in zapisov klicev ciljnih posameznikov.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud/novel-spy-group-telecoms-targeted-cyberattacks
- 7
- a
- Sposobna
- dejavnost
- akterji
- Poleg tega
- napredno
- med
- in
- Še ena
- Arhiv
- okoli
- ocenili
- napad
- Napadi
- avstralski
- Zakulisni
- Skrite
- začel
- zadaj
- broke
- Broken
- brskalnik
- klic
- poziva
- Akcija
- Kampanje
- prevoznikov
- Kitajska
- stranke
- Cloud
- Zbiranje
- Komunikacija
- Podjetja
- podjetje
- Ogroženo
- Ravnanje
- naprej
- stalno
- bi
- države
- stranka
- podatki o strankah
- Kibernetski napad
- kibernetski napadi
- cybercriminals
- datum
- Dnevi
- poda
- razporedi
- opisano
- imenovanje
- Odkrivanje
- naprave
- Dokumenti
- varno shrambo
- poimenovan
- East
- povzdignil
- vohunjenja
- Primer
- Primeri
- Strokovnjaki
- Priljubljeni
- Nekaj
- file
- finančno
- Firebase
- je pokazala,
- iz
- nadalje
- Prihodnost
- Vlade
- skupina
- Skupine
- ob
- ugrabitvijo
- hit
- HTTPS
- identiteta
- in
- vključeno
- povečal
- posamezniki
- Podatki
- začetna
- inoviranje
- nameščen
- primer
- obresti
- vključeni
- Iran
- IT
- LINK
- nakladač
- si
- Sklop
- velika
- Znamka
- zlonamerna programska oprema
- več
- sporočil
- metapodatki
- Microsoft
- Bližnji
- srednji vzhod
- Mobilni
- mobilne naprave
- več
- motivirani
- motivacije
- več
- mreža
- omrežij
- Novo
- opozoriti
- roman
- ONE
- organizacije
- Ostalo
- drugi
- del
- preteklosti
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Precision
- prej
- primarni
- zasebna
- privilegiji
- Postopki
- Ponudnik
- ponudniki
- javnega
- Javni oblak
- Namen
- namene
- Reality
- nedavno
- evidence
- okolica
- pomembno
- poročilo
- Prijavljeno
- tisti,
- Je dejal
- Enako
- drugi
- varnost
- Serija
- več
- podpisati
- Podoben
- So
- Soft
- nekaj
- specifična
- Komercialni
- bivanje
- ukradel
- trgovina
- taka
- Predlaga
- nadzor
- sistemi
- taktike
- ciljna
- ciljno
- ciljanje
- Cilji
- tehnike
- telecom
- telekomunikacije
- telekomunikacije
- telekomunikacije
- O
- svet
- njihove
- ta teden
- Grožnja
- akterji groženj
- do
- Teme
- sledenje
- Sledenje
- Turčija
- uporabnik
- navadno
- Prodajalec
- prodajalci
- preko
- Žrtva
- teden
- Kaj
- WHO
- v
- svet
- let
- zefirnet