Cybereason Nocturnus a découvert une campagne de cyberattaque sophistiquée et persistante, nommée Soft Cell, ciblant les fournisseurs de services de télécommunications mondiaux. Cette campagne, que l’on pense liée à des groupes de pirates informatiques chinois, est active depuis au moins 2012, se concentrant sur le vol de données CDR (Call Detail Records – Enregistrements détaillés des appels) et le contrôle total du réseau des victimes.
Les attaques se déroulent par vagues, utilisant des outils et des techniques sophistiqués pour s’infiltrer, prendre le contrôle et maintenir l’accès aux systèmes des opérateurs télécoms. L’objectif principal des pirates est de voler des données CDR, des informations personnelles, des données de paiement, des informations d’identification, des données d’emails, la position géographique des utilisateurs et de nombreuses autres informations sensibles.
Les attaquants ont utilisé de nombreux outils malveillants, notamment des variantes de web shell China Chopper, des variantes de Mimikatz, PoisonIvy RAT, hTran, et d’autres outils personnalisés. Ils exploitent les vulnérabilités des serveurs web publics, exécutent des commandes de reconnaissance, volent des informations d’identification, se déplacent latéralement dans le réseau et créent de faux comptes utilisateurs avec des privilèges élevés pour maintenir un accès durable.
Les données volées sont compressées et protégées par mot de passe avec WinRAR avant d’être exfiltrées via web shell et hTran. L’analyse des données volées révèle que la principale motivation des pirates est la collecte de renseignements sur des individus spécifiques, à des fins d’espionnage cybernétique.
Le contrôle total d’un fournisseur de services télécoms permet aux pirates de collecter des renseignements, de saboter les réseaux et de provoquer de graves perturbations. Soft Cell est un exemple typique de guerre cybernétique, où les pirates opèrent secrètement pendant de nombreuses années pour collecter des informations et établir une tête de pont avant de mener des attaques à grande échelle.
Cybereason continue de surveiller et d’analyser l’activité de ce groupe de pirates pour détecter d’autres outils et organisations compromises. Les opérateurs télécoms doivent renforcer la sécurité de leurs systèmes, déployer des solutions de sécurité avancées et rechercher régulièrement les menaces potentielles afin de prévenir des attaques similaires.