Sikkerhetsforskere hos det amerikanske IT-sikkerhetsselskapet Cybereason oppdaget i 2018 de første sporene etter det som har vist seg å være en svært omfattende, avansert og vedvarende spionasjekampanje rettet mot mobiloperatører i omtrent samtlige verdensdeler bortsett fra Nord-Amerika.
Hos mer enn 10 forskjellige selskaper er det oppdaget systematiske innbrudd som har pågått over lengre tid – i alle fall siden 2017. Hensikten med kampanjen skal være å innhente data om samtalene og den geografiske posisjonen til 20 til 30 spesifikke personer, som etter alt å dømme har høy etterretningsverdi. Dette kan for eksempel være politikere, diplomater og fremmede agenter.
Dette skriver blant annet TechCrunch og The Register. Kampanjen kalles for Operation Soft Cell.
_logo.svg.png){kind=logo}
Ikke navngitt
Verken de berørte selskapene eller personene er navngitt, og det understrekes at det ikke er sikkert at alle de berørt partene har blitt oppdaget ennå. Det er derfor uklart om norske selskaper eller personer er direkte berørt.
Angriperne skal ha fått tilgang til mobiloperatørenes interne systemer ved hjelp en rekke forskjellige verktøy. Hackerne skal ha utnyttet sårbarheter i Windows-baserte webservere til å installere en modifisert utgave av China Chopper, et såkalt «web shell» som lar angriperen bruke webserveren som port inn i målets lokale nettverk.
Norsk IT-leverandør hacket: – Kommer ikke til å bruke én kalori på gjenoppretting
Deretter har hackerne rekognosert nettverket og stjålet innloggingsinformasjon som til slutt har gitt dem full kontroll over domenekontrollerne i nettverket.
En omfattende gjennomgang av framgangsmåtene, er beskrevet i dette blogginnlegget fra Cybereason.
Installerte VPN-tjenester
En spesiell detalj som ikke er nevnt i blogginnlegget, men som The Register omtaler, er at hackerne i noen tilfeller har valgt å installere sin egen VPN-tjeneste i infrastrukturen til mobiloperatørene, uten at dette har blitt oppdaget. Så lenge en slik tjeneste forblir uoppdaget, er den langt mer pålitelig enn om hackerne skulle måtte hoppe fra den ene kompromitterte serveren eller PC-en til den andre.
Statssponset
Cybereason er svært sikre på at det er en statssponset aktør som står bak, altså en gruppe som jobber på vegne av etterretnings- eller sikkerhetstjenesten i en land.
Databrikke-produsent hacket
Både verktøyene og teknikkene som er brukt, peker tydelig mot gruppen som stort sett kalles for APT10 (Advanced Persistent Threat), eventuelt noen som ønsker å etterligne denne gruppens framgangsmåter og motiver.
APT10 er en ganske aktiv gruppe som i alle fall har holdt det gående siden 2009. Det er generelt antatt at gruppen har sitt opphav i Kina.
