Netwerken telecomproviders jarenlang gehackt voor spionage

Een cyberaanval genaamd Operation Soft Cell richt zich al een aantal jaren op wereldwijde telecomproviders. De aanvallers krijgen onder meer toegang tot belgegevens en de geolocatie van honderden miljoenen mensen, al zijn ze vooral geïnteresseerd in de activiteiten van slechts enkele individuen.

De aanvallers hebben de netwerken van minstens tien telecommunicatieproviders in handen. Ze zijn vooral gericht op het verkrijgen van toegang tot informatie van specifieke hooggeplaatste personen. Beveiligingsonderzoekers van Cybereason, die de operatie ontdekten, omschrijven deze personen als ‘waardevolle doelen’. De doelen zouden zijn gelokaliseerd in Europa, Afrika, het Midden-Oosten en Azië, aldus ZDNet. Cybereason vermoedt dat de Chinese overheid de APT-aanval ondersteunt. Mogelijk is het de Chinese hackgroep APT10 die achter de aanvallen zit.

Schaduw-IT-afdeling

De onderzoekers ontdekten de operatie afgelopen jaar toen zij verdachte activiteiten op het netwerk van een klant onderzochten. “Iemand was actief in het netwerk, ging van computer naar computer, stal inloggevens en hevelde een waanzinnige hoeveelheid aan data over. Zeker honderden gigabytes”, zegt Amit Serper, hoofdbeveiligingonderzoeker bij Cybereason.

Operation Soft Cell had de IT-infrastructuur van het onderzochte doelwit zodanig aangetast, dat de aanvallers door Serper omschreven worden als ‘de facto schaduw-IT-afdeling van het bedrijf’. Er was zelfs sprake van een eigen VPN en bovendien waren er tenminste tien verschillende accounts met beheerdersbevoegdheden ingesteld. Deze gaven toegang tot enorme hoeveelheden data en waren in staat om het netwerk uit te schakelen.

Aanval zonder hack

Serper noemt de aanval een ‘inlichtingen- en bewakingsoperatie’, waarbij alle informatie direct van de telecommunicatieproviders komt. Er wordt geen malware op de telefoon van gebruikers geïnstalleerd. De informatie bevat onder meer data over met wie er gebeld wordt en de tijd en de duur van de oproepen. Bovendien wordt er ook informatie verzameld over met wie er wordt gesms’t en wanneer. Daarnaast is het ook mogelijk om gebruikers te volgen, gezien zendmasten de geolocatie onthullen waarmee gedurende de dag verbinding wordt gemaakt.

“Dit is eigenlijk aanvallen zonder te hacken. Ze vallen telecommunicatieproviders aan voor strategische activa. Het is een toegangsoperatie: ze willen toegang krijgen tot een oneindige fontein van inlichtingen en gegevens. En ze kunnen alles doen zonder de telefoon van het slachtoffer aan te raken”, aldus de hoofdbeveiligingonderzoeker.

China Chopper-webshell

Aanvallen zouden zijn gebaseerd op een aangepaste versie van de China Chopper-webshell, een achterdeur die aanvallers in staat stelt om complete systemen over te nemen. Bovendien zouden er ook aanwijzigingen zijn voor een tweede methode, de inzet van de zogeheten PoisonIvy remote-access trojan. PoisonIvy wordt al langer geassocieerd met Chinese actoren.  De trojan wordt onder meer gebruikt voor het stelen van inloggegevens en maken van screenshots. Het bevat ook keylogging en andere bewakingsfuncties, waarmee de aanvallers persistentie in het netwerk kunnen behouden.

Tot nu toe was de operatie volledig gericht op het stelen van oproepgegevens. Het potentieel bestaat echter dat, gezien de hoeveelheid controle die de hackers hebben ten koste van aangetaste netwerken, dat ze een uitgebreide en vernietigende aanval kunnen uitvoeren. 

Wake-up call

Naast de tien bekende telecommunicatieproviders lijkt het erop dat de hackers zijn geïnfiltreerd in netwerken van nog eens twee providers. Cybereason werkt dan ook samen met een aantal wereldwijde telecommunicatiebedrijven om de dreiging het hoofd te bieden. “Dit is een wereldwijde campagne en het gaat nog steeds door. We zien nog steeds activiteit over de hele wereld, dit is nog lang niet voorbij. Het zou een wake-up call moeten zijn voor providers die al deze metadata hebben. Zo ook voor consumenten om betere actie van providers te eisen”, aldus Serper.

Gerelateerd: Spionage door natiestaten: moet jouw bedrijf wakker liggen van APT-aanvallen?