Cybereason Nocturnus đã phát hiện một chiến dịch tấn công mạng tinh vi và dai dẳng, có tên Soft Cell, nhắm vào các nhà cung cấp dịch vụ viễn thông toàn cầu. Chiến dịch này, được cho là có liên quan đến các nhóm tin tặc Trung Quốc, đã hoạt động ít nhất từ năm 2012, tập trung vào việc đánh cắp dữ liệu CDR (Call Detail Records – Hồ sơ chi tiết cuộc gọi) và kiểm soát hoàn toàn mạng của nạn nhân.
Các cuộc tấn công diễn ra theo nhiều đợt, sử dụng các công cụ và kỹ thuật tinh vi để xâm nhập, chiếm quyền điều khiển và duy trì quyền truy cập vào hệ thống của các nhà mạng. Mục tiêu chính của tin tặc là đánh cắp dữ liệu CDR, thông tin cá nhân, dữ liệu thanh toán, thông tin đăng nhập, dữ liệu email, vị trí địa lý của người dùng và nhiều thông tin nhạy cảm khác.
Tin tặc thay đổi hoạt động mỗi quý.
Kẻ tấn công đã sử dụng nhiều công cụ độc hại, bao gồm web shell China Chopper biến thể, Mimikatz biến thể, PoisonIvy RAT, hTran, và các công cụ tùy chỉnh khác. Chúng khai thác lỗ hổng trên các máy chủ web công khai, thực hiện các lệnh trinh sát, đánh cắp thông tin đăng nhập, di chuyển ngang trong mạng, và tạo ra các tài khoản người dùng giả mạo có quyền cao để duy trì quyền truy cập lâu dài.
Hoạt động web shell độc hại được quan sát thấy trong giải pháp Cybereason. Các lệnh được thực thi thông qua phiên bản sửa đổi của web shell China Chopper.
Dữ liệu bị đánh cắp được nén và bảo vệ bằng mật khẩu bằng WinRAR trước khi bị đánh cắp thông qua web shell và hTran. Việc phân tích dữ liệu bị đánh cắp cho thấy động cơ chính của tin tặc là thu thập thông tin tình báo về các cá nhân cụ thể, phục vụ cho mục đích gián điệp mạng.
Mimikatz biến thể được sử dụng để dump NTLM hashes.
Việc kiểm soát hoàn toàn nhà cung cấp dịch vụ viễn thông cho phép tin tặc thu thập thông tin tình báo, phá hoại mạng lưới và gây ra sự gián đoạn nghiêm trọng. Soft Cell là một ví dụ điển hình về chiến tranh mạng, nơi tin tặc hoạt động bí mật trong nhiều năm để thu thập thông tin và thiết lập chỗ đứng trước khi thực hiện các cuộc tấn công quy mô lớn.
Ví dụ về dữ liệu CDR.
Cybereason tiếp tục theo dõi và phân tích hoạt động của nhóm tin tặc này để phát hiện thêm các công cụ và tổ chức bị xâm nhập. Các nhà mạng viễn thông cần tăng cường bảo mật hệ thống, triển khai các giải pháp bảo mật tiên tiến và thường xuyên săn tìm các mối đe dọa tiềm ẩn để ngăn chặn các cuộc tấn công tương tự.
