Расширенный постоянные угрозы 10 (APT10) или каменная Панда хакерскую банду, которая была связана с китайским правительством, за шпионаж по всему миру кампании, охватывающей годы, исследователи безопасности говорят.

Безопасности Cybereason поставщика выпустил доклад, в котором подробно излагается, как APT10 напал на телекоммуникационные компании в рамках операции мягких клеток, в несколько волн, что привело к полному поглощению сетей по всему миру.

Cybereason заметил нападение в этом году, а также определены инструменты и методы, используемые злоумышленниками, как же, что APT10 использовал в прошлом.

Данные, собранные Cybereason, в том числе удаленный доступ к командной оболочке, которая была классифицирована как модифицированная версия инструмента измельчитель Китае обнаружен в 2012 году, предполагает эксплуатации мягких клеток был активен в течение многих лет.

Поиском уязвимых информационных служб Интернета (IIS-серверы), злоумышленники пытаются скомпрометировать эти и запустите modififed Китай измельчитель панциря на рекогносцировку целевой сети, чтобы найти средства на эти, что их интересовало.

Используя такие инструменты, как модифицированная версия сервер имен сканер NetBIOS, злоумышленники наметили внутренних сетей телекоммуникационных компаний и затем побежал индивидуальный Mimikatz свалить и получить Windows NTLM и диспетчер учетных записей безопасности (Sam) хэши паролей.

С помощью учетных данных Пользователя в руках, APT10 хакеры смогли движется в боковом направлении вдоль внутренней сети дорожек и компромисс контроллеры домена и установить долгосрочные позиции на телекоммуникационных системах.

Так же как и выше метод, злоумышленники развернуть инструмент удаленный доступ к poisonivy (крыса), чтобы незаметно оставаться в контакте с зараженным системам.

Модифицированный вариант инструмента hTran хвастун связи был использован, чтобы переносить украденные данные в сжатом формате, сказал Cybereason.

Шпионаж и наблюдение лиц, как представляется, были мотивом для APT10.

Злоумышленники пытались получить детализации звонков от крупных операторов, сказал Cybereason. Они содержат большое количество информации, такой как источник, место назначения и продолжительность звонков.

Записи содержат также метаданные для используемого устройства, и их физического местоположения.

Через Кдрс, APT10 смог бы работать, кто-лиц, находящихся под наблюдением говорили и на устройствах, которые они используют, а также где они путешествуют.

APT10 также пытался вытащить все данные, хранящиеся на сервере Active каталог. Это включает все имена пользователей и пароли для оператора.

Конфиденциальную персональную информацию, платежные данные, сообщения и пользователей геолокационные данные также были захвачены хакерами. Подробности на сотни миллионов пользователей могли быть скомпрометированы при многолетней эксплуатации мягкой клетки.

По крайней мере, десять мировых телекоммуникационных компаний, как полагают, были атакованы APT10, хотя Cybereason не назвал их или сказать, где они находятся.

APT10 это верил , чтобы быть за чередой нападений на большое количество поставщиков управляемых услуг в мире, а также университетов, военных подрядчиков и научно-исследовательских организаций.

Федеральное бюро расследований США обвинила двух граждан Китая, Чжу Хуа (а.к.а. “Убийца Богов”, “Alayos”, “Afwar” и “CVNX”) и Чжан Шилун (а.к.а. “Baobeilong”, “Чжан Цзяньго”, и “Atreexp”), утверждая, что они являются членами группы APT10 взлома и активный seince 2006.

Чжу и Чжан работал на Huaying Хаитаи науки и технологии развития компании в Тяньцзине, и действовал совместно с Министерством китайского Государственного бюро безопасности там, говорит ФБР.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here