Hệ thống mạng của các công ty viễn thông trên toàn thế giới liên tục bị tấn công

Một cuộc tấn công dài hạn, quy mô lớn nhắm vào các công ty viễn thông trên toàn thế giới đã được phát hiện. Cuộc tấn công, được công ty bảo mật Cyberory đặt tên là Operation Soft Cell, đã ghi nhận ​​hàng trăm gigabyte thông tin bị rò rỉ. Công ty đồng thời đưa ra tuyên bố những kẻ tấn công đã có toàn quyền kiểm soát các mạng bị xâm nhập và có thể dễ dàng hạ gục toàn bộ mạng di động nếu chúng muốn.

Amit Serper, chuyên gia nghiên cứu bảo mật chính tại Cyberory và là tác giả của báo cáo cho biết, “Dịch vụ di động là một cơ sở hạ tầng quan trọng hiện nay. Điều thực sự làm tôi lo lắng là lượng truy cập chúng đang kiểm soát – liệu chúng có khả năng thâu tóm toàn bộ quyền truy cập mạng hay không. Điều tồi tệ nhất chúng có thể làm không phải là phá hoại nó mà là một ngày nào đó chúng sẽ đánh sập toàn bộ hệ thống mạng”.

Cyberory đã không nêu tên cụ thể 10 công ty viễn thông có liên quan, nhưng Serper nói rằng chúng nằm trải khắp Châu Âu, Châu Á, Trung Đông và Châu Phi. Công ty cho biết họ chưa tìm thấy bằng chứng về các công ty Bắc Mỹ bị xâm phạm.

Công ty đang quy kết vụ tấn công này do APT10, nhóm hacker đến từ Trung Quốc dựa trên sự giống nhau của các công cụ, chiến thuật và quy trình được sử dụng trong các cuộc tấn công trước đây đã được quy cho nhóm.

Kẻ tấn công đe dọa giành quyền kiểm soát hoàn toàn hệ thống mạng viễn thông

Theo Cyberory, những kẻ tấn công đã khai thác hơn 100 GB thông tin chủ yếu dưới dạng các bản ghi chi tiết cuộc gọi (CDR). Lượng thông tin này có khả năng là hoạt động thu thập dữ liệu cho một cơ quan tình báo tương đương khoảng thời gian bảy năm. Đây là một cuộc tấn công tinh vi chứ không phải là một hoạt động ồn ào. Đây chính là một hoạt động chiến lược của một cơ quan thu thập thông tin tình báo.

CDR bao gồm nhật ký cuộc gọi và tin nhắn, thông tin thiết bị và dữ liệu vị trí tháp truyền tin, từ đó có thể cung cấp vị trí thực cho thiết bị điện thoại và chủ sở hữu của nó. Siêu dữ liệu này không chỉ không cung cấp thông tin về nội dung của các cuộc gọi và tin nhắn được gửi, mà còn có thể cung cấp một bức tranh chi tiết về đặc tính cá nhân chủ sở hữu và mạng di động cá nhân. Điều này cho thấy hoạt động khai thác dữ liệu này được thực hiện dựa trên mục đích khác hơn là mục đích tài chính. Các bản ghi này về cơ bản có tất cả thông tin thô và siêu dữ liệu thô mà điện thoại của bạn đang gửi đi và nhận đến.

Theo báo cáo, những kẻ tấn công đã có được quyền truy cập thông qua một máy chủ dễ bị tấn công, trước khi tiến hành hành động và phát tán trên mạng. Bằng cách thỏa hiệp thông tin đăng nhập, chúng có thể tạo tài khoản người dùng từng miền có đặc quyền cao. Từ đó chúng có tài khoản quản trị miền riêng, và hoàn thành việc khai thác toàn bộ cơ sở dữ liệu Active Directory, vì vậy chúng có quyền truy cập vào mọi bản ghi trong Active Directory.

Mặc dù có vẻ như các mục tiêu đe dọa của kẻ tấn công là thu thập thông tin tình báo, nhưng nhóm này đã kiểm soát hoàn toàn hệ thống mạng và có thể đã đóng cửa một số dịch vụ nếu chúng muốn. “Chúng có toàn quyền kiểm soát trên mạng. Hôm nay, chúng có thể muốn thu thập CDR, nhưng ngày mai chúng có thể khóa mạng nếu chúng muốn.”

Điều gì đang diễn ra?

Nhóm tấn công đã nhắm mục tiêu ít nhất 20 cá nhân cụ thể để thu thập thông tin CDR tương ứng của họ, cho thấy đây là một cuộc tấn công được nhắm mục tiêu cao, đại diện cho một cơ quan, chứ không phải là một hành động mang tính cơ hội. Nạn nhân không hề nhận được dữ liệu về bất kỳ khoản thanh toán nào, do vậy, chúng đã không ăn cắp bất kỳ thẻ tín dụng nào. “Chúng đã đánh cắp CDR, một thứ rất cụ thể, và theo kinh nghiệm công việc trước đây của tôi tại một cơ quan tình báo, thì CDR liên quan đến thu thập thông tin tình báo và rất hữu ích cho các cơ quan tình báo”.

Cyberory đã điều tra hoạt động này trong chín tháng và đã thông báo cho cả khách hàng và các công ty mà họ xác định là có khả năng bị xâm phạm. Khi các cuộc điều tra vẫn đang tiếp diễn, công ty không thể đưa ra thông báo gì mới nếu các cuộc tấn công đã được khắc phục trên các mạng bị ảnh hưởng.

Các thông tin cụ thể của thỏa hiệp chưa được công bố vì Serper nói rằng bản chất mục tiêu của các cuộc tấn công này là các nạn nhân, nhưng cho biết thêm rằng Cyberory đã gặp các nhà lãnh đạo của 25 công ty viễn thông lớn nhất trên toàn cầu để cung cấp cho họ chi tiết về cuộc tấn công.

Serper đưa ra lời khuyên: “Các công ty của Vương quốc Anh nên kiểm soát những người có quyền truy cập vào cơ sở dữ liệu có chứa CDR của họ và ​​giám sát họ thật chặt chẽ. Hãy chắc chắn rằng tất cả các máy chủ có kết nối với bên ngoài đều được vá các lỗi đầy đủ và không chứa mã dễ bị tấn công trên chúng.”

APT10 là ai?

Mặc dù sự quy kết là khó khăn trong những trường hợp như vậy và cuộc tấn công có thể đã được thực hiện bởi một nhóm khác bằng cách sử dụng chiến thuật sao chép, do vậy, với sự tự tin nhận định rằng đó có thể là APT10, Cyberory nói rằng họ có thể đưa ra tuyên bố với “xác suất rất cao” rằng cuộc tấn công này là một hành động đe dọa mang tính chất quốc gia.

APT10, còn được gọi là Nhóm Menupass, đã hoạt động từ năm 2009. Nhóm này trước đây đã nhắm đến các công ty xây dựng và kỹ thuật, hàng không vũ trụ và viễn thông, cũng như các chính phủ Mỹ, Châu Âu và Nhật Bản.

Năm 2016, chúng được xác định là đứng sau một chiến dịch nhắm mục tiêu vào các nhà cung cấp dịch vụ được quản lý (MSP) được đặt tên là Chiến dịch Cloud Hopper của PwC. Phần mềm độc hại được xác định trong cuộc tấn công này bao gồm Haymaker, Snugride, Bugjuice và Quasarrat. Trong cuộc tấn công này, nhóm tấn công đã sử dụng các phiên bản tùy chỉnh của các công cụ đã biết. Chúng bao gồm một phiên bản tùy chỉnh của Công cụ truy cập từ xa Poison Ivy (RAT), trình web China Chopper, công cụ nbtscan đã sửa đổi và một phiên bản công cụ đánh cắp thông tin được sửa đổi và tùy chỉnh rất tinh vi của Mimikatz.

Serper cho biết cũng giống như việc đảm bảo các công cụ hoạt động trong môi trường mà chúng nhắm mục tiêu, nhiều sửa đổi được tùy chỉnh là để tránh bị các sản phẩm bảo mật phát hiện. Nhóm tấn công tiến hành hoạt động một cách chậm chạp, đôi khi chờ đợi hàng tháng giữa các hành động. Đây là những gì chúng ta gọi là một cuộc tấn công thấp và chậm. Đôi khi, chúng cần thời gian để tùy chỉnh các công cụ để công cụ của chúng hoạt động chính xác trong mạng, thậm chí chúng có thể nghĩ rằng chúng đã bị phát hiện nên chúng đã thay đổi một số công cụ để chúng không bị phát hiện nữa.

Cyberory tin rằng những kẻ tấn công có thể đã ở trên các mạng bị xâm nhập trong vòng bảy năm. Theo một số vi phạm, chúng tôi đã tìm thấy các phiên bản phần mềm độc hại cũ tương ứng với các vi phạm đã có từ bảy năm trước - năm 2012.

Mặc dù đó có thể không phải là một chỉ báo rõ ràng về thời điểm của cuộc tấn công, nhưng các tác nhân đe dọa đã có mặt đủ lâu để cho thấy việc cài đặt hệ thống VPN của riêng chúng nhằm mục đích truy cập mạng dễ dàng hơn.

Các công ty Viễn thông cần phải nâng cấp hệ thống an ninh mạng của họ

Trong khi phần lớn sự tập trung gần đây đều dồn vào mạng 5G và bảo mật viễn thông thì tập trung vào Huawei, cuộc tấn công này cho thấy các công ty viễn thông vẫn chưa đuổi kịp hệ thống bảo mật của thế hệ kết nối di động tiếp theo. Theo báo cáo về các Mối đe dọa DNS toàn cầu của EfficientIP năm 2018, 1/3 các công ty viễn thông đã mất thông tin nhạy cảm của khách hàng trong 12 tháng qua.

Trong một sự kiện gần đây, Giám đốc điều hành NCSC Ciaran Martin tuyên bố, “Vấn đề về kết cấu trong cách thị trường viễn thông hoạt động trong quá khứ đã không khuyến khích an ninh mạng hoạt động đủ tốt. Chúng ta cần sử dụng cơ hội này để thay đổi căn bản cách chúng ta thực hiện bảo mật viễn thông để tăng cường an ninh mạng và tăng khả năng phục hồi vào cơ sở hạ tầng của chúng ta. Vì vậy, cần tập trung rất nhiều vào hoạt động bảo mật cho mạng 5G hơn so với Huawei”.

Khi được hỏi liệu bảo mật kém có dẫn đến cho sự tấn công thành công của Operation Soft Cell hay không, Serper đã bảo vệ công ty viễn thông. “Nếu một quốc gia quan tâm đến việc tiến vào một nơi nào đó, họ sẽ tham gia. Đó chỉ là vấn đề thời gian, sự nỗ lực và số lượng tài nguyên mà họ muốn đưa vào. Cuối cùng, điều đó sẽ xảy ra và họ sẽ có quyền truy cập. Tôi không nghĩ rằng nhất thiết phải nói bất cứ điều gì về động thái bảo mật của tổ chức bị tấn công.”