ATP10 hackeou uma dezena de redes de telecomunicações e roubou registos de chamadas dos utilizadores, PII, credenciais, e muito mais.

O grupo chinês APT 10 comprometeu 10 redes de telecomunicações em todo o mundo sob a campanha chamada Operation Soft Cell  e roubaram vários dados sensíveis, incluindo registos de chamadas, PII entre outros.

O APT10 é um dos threat actors mais ativos atualmente, e as suas funções são viradas para atividades comenciais, incluindo aviação, satélite, tecnologia maritima, fábricas indústriais, telecomunicações, etc.

Em 2018, investigadores da Cybereason identificaram esse ataque persistente que visava principalmente as redes globais de telecomunicações usando várias ferramentas, técnicas e procedimentos avançados (TTPs) que nunca haviam sido vistos antes.

Researchers refer this attack as “massive-scale” espionage which conducted against international Telecommunication Networks to steal all data stored in the active directory, compromising every single username and password in the organization, along with other personally identifiable information, billing data, call detail records, credentials, email servers, geo-location of users, and more.

 

Os atores de ameaça do ATP 10 envolveram-se nesta campanha massiva quase dois anos depois, e continuam a alterar os padrões de ataque junto com a nova atividade a cada trimestre.

 

Os investigadores acreditam que o APT 10 é um grupo de ameaças totalmente patrocinado pelo estado chinês e o seu foco principal em redes de telecomunicações para obter dados de CDR (registos de chamadas,  etc.)

Os agentes de ameaças começaram a coletar informações sobre a rede do servidor público vulnerável executando um shell da web.

Vários meses depois, os investigadores descobriram uma 2 vaga em redes de telecomunicações com tentativas semelhantes de infiltração, mas modificaram a versão das atividades de shell e vigilância da web.

 

Para manter o acesso aos assets comprometidos, os agentes de ameaças implantam o PoisonIvy RAT (PIVY), um Trojan de acesso remoto usado por vários grupos APT, incluindo APT10, APT1 e DragonOK.

PIVY is a very powerful RAT let hackers take complete control of the targeted Telecom networks machine and it has some important features including,

  • Registry Editor
  • Screenshot Grabber
  • Credential Stealer
  • Interactive Shell
  • File Manager with Upload and Download Support
  • Process Monitor
  • Keylogging and Various other Surveillance Features

 

According to Cybereason, One of the most valuable pieces of data that telecommunications providers hold is Call Detail Records (CDRs). CDRs are a large subset of metadata that contains all details about calls, including,

1.Source, Destination, and Duration of a Call
2.Device Details
3.Physical Location
4.Device Vendor and Version

 

Hacking Tools Used for this Campaign – Cybereason

  1. Web Shells
    • A modified version of the China Chopper web shell was used for initial compromise.
    • Custom-built web shells were used for later phases of the attack.
  2. Reconnaissance Tools
    • A modified version of Nbtscan was used to identify available NetBIOS name servers locally or over the network.
    • Multiple Windows built-in tools were used for various tasks, including whoami, net.exeipconfignetstatportqry, and more.
    • WMI and PowerShell commands were used for various tasks.
  3. RAT
    • PoisonIvy was used to maintain access across the compromised assets.
  4. Credential Dumpers
    • A modified version of Mimikatz was used to dump credentials stored on the compromised machines.
    • A PowerShell-based Mimikatz was also used to dump credentials stored on the compromised machines.
  5. Lateral movement
    • WMI was used for lateral movement.
    • PsExec was also used for lateral movement.
  6. Connection Proxy
    • A modified version of hTran was used to exfiltrate stolen data.
  7. Compression tool
    • Winrar was used to compress and password-protect stolen data.