--- title: 軟巢行動：一個正在滲透全球電信網路的計畫 description: 在2018年，Cybereason 團隊發現了針對全球電信商的進階持續性攻擊，此攻擊模式使用與中國駭客組織APT10相關的工具和技術。這種多波攻擊的重點是獲取特定高價值目標的數據，最後完全接管網絡。 image: https://i.imgur.com/4O7DppZ.jpg url: https://hackmd.io/@hsiaoa/cybereason-report tags: hackers, telecommunications, cyber warfare --- # 軟巢行動：一個正在滲透全球電信網路的計畫 *6.25.2019* 作者： MOR LEVI, ASSAF DAHAN, AND AMIT SERPER 原文網址： https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers 翻譯者： - 蕭新晟 ## 摘要 在2018年，Cybereason Nocturnus 團隊發現了針對全球電信商的進階持續性攻擊 (APT - Advanced Persistent Threat 詳見下註)，此攻擊模式使用與中國駭客組織APT10相關的工具和技術。這種多波攻擊的重點是獲取特定高價值目標的數據，最後完全接管網絡。 註：APT攻擊。APT全名為Advanced Persistent Threat，中文一般譯為進階持續性威脅（攻擊）。簡單來說，攻擊者會先收集攻擊對象的生活習性，依據他的生活習性，設計入侵的方式，並編寫防毒軟體都抓不到的客製化攻擊程式；一旦入侵成功，掌握了機器，就能以這個機器作為節點，繼續收集更多資料，尋找下一個攻擊目標。這些攻擊可能會從周圍的攻擊對象下手，逐步進逼到核心目標。最終，控制了關鍵裝置後，就能取得關鍵機敏資訊，或是發起攻擊以中斷服務；最後，把自己留下的資訊與足跡消除，避免自己被找到。 節錄自：《林雨蒼：台灣面臨新型態資訊戰，不僅是「網軍」那麼簡單》 https://theinitium.com/article/20190429-opinion-taiwan-information-warfare © 端傳媒 Initium Media ## 關鍵點 - 今年初，Cybereason 團隊發現了針對全球電信商的進階持續性攻擊，該攻擊在電信系統伺服器部署上線後不久就已開始並持續了多年。 - 除了這次攻擊，攻擊者後來又在6個月內發動四次進階持續性攻擊，Cybereason 團隊每次皆在攻擊中提供電信商必要援助。 - 根據我們獲得的數據，在2012年以來，代號為 Operation Soft Cell （暫譯：軟巢行動）的攻擊活動一直活躍進行，甚至有一些證據顯示駭客甚至更早就對電信商開展了攻擊。 - 該攻擊旨在獲取大型電信商的CDR (Call Detail Record - 通話詳細資料)記錄。 - 駭客試圖竊取存儲在資料夾中的所有數據，危及組織中的每個用戶名稱和密碼，以及其他個人身份資料、計費數據、通話詳細記錄、憑據、電子郵件服務器、用戶的地理位置和更多。 - 使用的工具和模式（TTP）與中國駭客組織APT10有高度關聯性。 - 在持續攻擊期間，駭客間歇性地工作 - 在被偵測到時停止並放棄一個攻擊路徑，然後在幾個月後使用新工具和技術繼續攻擊。 ## 安全建議 - 為網頁伺服器添加其他安全層。例如，使用WAF（網頁應用程式防火牆）來防止網頁面向網路的的輕微攻擊。 - 盡可能少將系統或端口暴露給整個開放網路。確保暴露的伺服器和網頁服務都已修補。 - 當偵測到高嚴重性事件時，使用EDR工具來掌握脈絡和提供即時反應能力。 - 定期主動在您的環境中搜索敏感資料。 ## 介紹 在2018年，30％的全球電信商報告了敏感的客戶信息因襲擊而被盜取。這些電信商的規模過去十三年中一直在擴大，行動電話用戶數量翻了四倍規模達到80億用戶。由於他們帶來的服務無所不在，電信商已成為大多數世界大國關鍵的基礎設施。 就像電信提供商一樣，許多其他關鍵基礎設施產業因為他們的高影響力，也成為國家級駭客高價值的攻擊目標。在研究中，約四分之一的關鍵基礎設施業者報告說他們受到了國家級駭客的攻擊，60％的受訪者表示，破壞性的網路攻擊是他們最擔憂的入侵活動之一。 駭客，尤其是國家等級的駭客，正在尋求機會攻擊這些產業，進行精心設計的攻擊行動以得到機會獲取重要的戰略資產並收集信息。如果成功，這些攻擊通常會產生巨大的影響。 去年，我們偵測到一個在電信商資料中心環境中潛伏至少兩年的駭客。我們對攻擊事件進行了事後調查，並能夠確定每季攻擊模式的變化以及新活動。 駭客主要目標來自不同國家的特定個人的CDR數據（通話日誌，電信塔位置等）。這種有針對性的網絡間諜活動通常是國家級駭客的日常工作。 我們高度肯定地認為，駭客與中國有關聯並且可能是國家資助的。這些攻擊中使用的工具和技術與幾個中國駭客組織一致，特別是APT10，一個據信代表中國國家安全部（MSS）運作的駭客。  *駭客每季活動都有所不同。* 攻擊始於一個在易受攻擊的公開伺服器上運行的Web shell，攻擊者從中收集內網相關的資訊並通過內網網絡傳播。駭客試圖破壞關鍵資產，例如資料庫伺服器，計費伺服器和常用資料夾。一但惡意活動被偵測到且漏洞被補救後，駭客通常會暫時停止攻擊。 幾個月後，第二波攻擊的入侵湧來，帶著修改過的web shell和偵察碼。在駭客和防御者之間開始了一場貓捉老鼠遊戲，在4個月的時間內，駭客連續兩次停止再恢復他們的攻擊。 ## 攻擊分析 本章節含有大量技術細節，詳見原文：https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers#anatomyoftheattack ### 初步入侵 ### 盜取憑證 ### 橫渡系統 ### 佔地為王 ### 五鬼搬運 ## 了解動機 當大型組織發生大規模入侵行為時，我們首先想到的是支付數據。為大企業提供服務的組織在他們系統上擁有大量信用卡數據、銀行帳戶信息和更多個人數據。這些攻擊通常由尋求獲利的網絡犯罪團體進行。 相反，當一個國家駭客正在攻擊一個大型組織時，最終目標通常不是金錢，而是知識財產權或關於其客戶的敏感信息。 電信商擁有的最有價值的數據之一是通話詳細記錄（CDR）。CDR是電信數據的一個重要子集，包含有關通話的所有詳細信息，包括： - 通話的來源，目的地和持續時間 - 設備細節 - 物理位置 - 設備供應商和版本 對於一個國家級駭客來說，獲得對這些數據的存取權限可以讓他們更輕易鎖定在該網絡上的任何人，使他們獲得此人的重要資訊： - 在與誰交談？ - 使用哪些設備？ - 在哪裡？ 當國家級駭客針對外國情報人員、政治人物、選舉中的反對立場候選人、甚至是執法部門人員時，掌握這些信息就變得特別有價值。  例1：CDR數據  例2：CDR數據  例3：CDR數據 除了針對個人用戶之外，對電信商的控制所帶來的威脅，也相當令人擔憂。電信已成為大多數世界大國的關鍵基礎設施。就像這裡的例子所示，具有對電信商系統完全存取權的駭客可以被動地攻擊任何他們想要的目標，或者積極地破壞癱瘓網絡。 這種攻擊不僅對個人而且對組織和國家都有廣泛的影響。許多指標，包括使用特定工具和多年來一直隱藏正在進行的攻擊，都指向這是一個國家級駭客－而且這背後很可能就是中國。這是另一種形式的網絡戰，在於建立立足點並秘密收集資訊，直到它們準備好進行更猛烈的攻擊。 ## 攻擊情報研究 詳見原文：https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers#threatintelresearch ## 研究方法 詳見原文：https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers#methodology ## 結論 在這篇部落格中，我們描述了2017年以來對全球電信商的持續性攻擊。駭客成功地滲透到電信商網絡中最深，包括一些從互聯網上無法存取的部分，並且竊取關鍵資料。我們的調查發現，這些襲擊是針對性的，駭客試圖竊取各國特定人物的通信數據。 在整個調查過程中，我們發現了協助該駭客進行攻擊的基礎設施。該駭客所使用的數據與TTP和工具相結合，使我們幾乎可以確定這些入侵行動是由一個國家支持，並且與中國有高度關聯。我們對數據的語境化轉譯顯示，駭客可能是中國國安部的APT10，或者至少是使用相同工具，技術和動機來模仿他們的駭客組織。 重要的是，即使攻擊主要針對特定的個人，任何擁有接管電信商網絡權力的組織，都可能利用其非法活動來關閉或破壞整個電信網絡。這也是網絡戰行動的一部分。 由於各種限制，我們無法在本報告中披露我們收集的的所有信息。我們的團隊將繼續監控和跟踪駭客的活動，以找出更多工具和受害組織。