Al menos 10 de las principales compañías de telecomunicaciones que operan en todo el mundo se han convertido en víctimas de una campaña masiva de espionaje cibernético relacionada con el robo de registros de llamadas de proveedores de redes celulares para llevar a cabo una vigilancia específica en personas de interés. La campaña denominada "Operación Softcell" ha sido descubierta por la organización de ciberseguridad Cybereason mientras investigaba una falla en la red de un nuevo cliente de telecomunicaciones. Basado en las herramientas y TTP (tácticas, técnicas y procedimientos) utilizados en los ataques, la firma de investigación de seguridad cree que la "Operación Softcell" es el trabajo de los hackers chinos APT10 (o un actor de amenazas que comparte, o desea emular sus métodos mediante utilizando las mismas herramientas y técnicas).
Según el extenso informe de Cybereason, los piratas informáticos penetraron y durante al menos dos años ocuparon las redes de unos 10 proveedores de servicios celulares en África, Europa, Oriente Medio y Asia, obteniendo cantidades masivas de registros de llamadas. Incluyendo las horas y fechas de las llamadas, y sus ubicaciones basadas en células. El actor de amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.
Los atacantes habían extraído más de 100 GB de datos de la empresa de telecomunicaciones principal evaluada, y estaban usando su acceso a los llamados Registros de detalles de llamadas (CDR) para rastrear los movimientos e interacciones de personas de alto perfil de varios países.
“El ataque comenzó con un shell web que se ejecutaba en un servidor vulnerable y público, desde el cual los atacantes recopilaban información sobre la red y se propagaban a través de la red. "El actor de amenazas intentó comprometer los activos críticos, como los servidores de bases de datos, los servidores de facturación y el directorio activo", dijeron los investigadores. Si bien el primer intento de comprometer la red objetivo no tuvo éxito, los hackers reanudaron sus ataques 2 veces más en el lapso de un período de 4 meses.
El indicador inicial del ataque fue un shell web malicioso que se detectó en un servidor IIS (Servicios de información de Internet) y que salió del proceso w3wp.exe. Este shell web es una versión modificada del shell web de China Chopper, que anteriormente se ha visto en los ataques realizados por varios grupos de piratas informáticos. En esta campaña en particular, el China Chopper se usó para ejecutar comandos de reconocimiento y robar credenciales, utilizando una gama de herramientas. Uno de los comandos de reconocimiento fue ejecutar una herramienta nbtscan modificada ("escáner de servidor de nombres NetBIOS") para identificar los servidores de nombres NetBIOS disponibles localmente o en la red. APT10 ha utilizado Nbtscan en la "Operación Cloud Hopper" para buscar servicios de interés en los puntos de interés de la propiedad de TI.
La siguiente etapa del ataque involucró una versión modificada (maybemimi.exe.) De Mimikatz, una herramienta que descarga contraseñas de la memoria, así como hashes y PIN.
Otra herramienta utilizada fue la RAT Poison Ivy. Esto usó una técnica de carga lateral de DLL para cargarse sigilosamente en la memoria, usando una herramienta de Samsung de confianza y firmada (RunHelp.exe). La RAT se utilizó para mantener el acceso a través de los activos comprometidos.
En las etapas posteriores del ataque, el actor de amenazas implementó otros dos shells web personalizados para ejecutar comandos de reconocimiento, robar datos y descargar herramientas adicionales, como portqry.exe, renombrado cmd.exe, winrar y el notorio hTran.
“Una vez que el actor de amenazas mapeó la red y obtuvo credenciales, comenzaron a moverse lateralmente. Pudieron comprometer activos críticos, incluidos los servidores de producción y los servidores de bases de datos, e incluso lograron obtener el control total del controlador de dominio. "El actor de amenazas confió en WMI y PsExec para moverse lateralmente e instalar sus herramientas en múltiples activos", agregaron los investigadores.
Fuente: https://www.cybersecurity-help.cz/blog/597.html
