Cybereason Nocturnus hat eine ausgeklügelte und anhaltende Cyberangriffskampagne namens Soft Cell aufgedeckt, die auf globale Telekommunikationsdienstleister abzielt. Diese Kampagne, von der angenommen wird, dass sie mit chinesischen Hackergruppen in Verbindung steht, ist mindestens seit 2012 aktiv und konzentriert sich auf den Diebstahl von CDR-Daten (Call Detail Records – Anrufdetaildatensätze) und die vollständige Kontrolle über die Netzwerke der Opfer.
Die Angriffe erfolgen in mehreren Wellen und verwenden ausgefeilte Werkzeuge und Techniken, um in die Systeme der Netzbetreiber einzudringen, die Kontrolle zu übernehmen und den Zugriff aufrechtzuerhalten. Das Hauptziel der Hacker ist der Diebstahl von CDR-Daten, persönlichen Informationen, Zahlungsinformationen, Anmeldedaten, E-Mail-Daten, geografischen Standorten der Nutzer und vielen anderen sensiblen Informationen.
Die Angreifer setzten verschiedene Schadtools ein, darunter Web-Shell-Varianten von China Chopper, Mimikatz-Varianten, PoisonIvy RAT, hTran und andere benutzerdefinierte Tools. Sie nutzten Schwachstellen auf öffentlich zugänglichen Webservern aus, führten Aufklärungsbefehle aus, stahlen Anmeldeinformationen, bewegten sich lateral im Netzwerk und erstellten gefälschte Benutzerkonten mit hohen Berechtigungen, um den langfristigen Zugriff aufrechtzuerhalten.
Web-Shell-Aktivität, beobachtet in der Cybereason-Lösung. Befehle werden über eine modifizierte Version der China Chopper Web-Shell ausgeführt.
Die gestohlenen Daten wurden mit WinRAR komprimiert und passwortgeschützt, bevor sie über Web-Shell und hTran gestohlen wurden. Die Analyse der gestohlenen Daten zeigt, dass das Hauptmotiv der Hacker darin besteht, Geheimdienstinformationen über bestimmte Personen zu sammeln, um Cyberspionage zu betreiben.
Mimikatz-Variante wird verwendet, um NTLM-Hashes zu dumpen.
Die vollständige Kontrolle über einen Telekommunikationsdienstleister ermöglicht es Hackern, Geheimdienstinformationen zu sammeln, Netzwerke zu sabotieren und erhebliche Störungen zu verursachen. Soft Cell ist ein typisches Beispiel für Cyberkrieg, bei dem Hacker jahrelang heimlich operieren, um Informationen zu sammeln und sich zu etablieren, bevor sie grossangelegte Angriffe starten.
Beispiel für CDR-Daten.
Cybereason verfolgt und analysiert die Aktivitäten dieser Hackergruppe weiterhin, um weitere Tools und kompromittierte Organisationen aufzudecken. Telekommunikationsnetzbetreiber müssen die Sicherheit ihrer Systeme erhöhen, fortschrittliche Sicherheitslösungen implementieren und regelmässig proaktiv nach potenziellen Bedrohungen suchen, um ähnliche Angriffe zu verhindern.