已发现针对全球电信公司的长期大规模攻击。这次被安全公司Cyber​​eason 称为Operation Soft Cell的攻击看到了数百亿GB的信息泄露。该公司声称，攻击者可以完全控制受到破坏的网络，如果他们愿意，可能很容易将整个蜂窝网络整合下来。

[跟上8个热门的网络安全趋势(4个变冷)。通过顶级安全认证为您的职业生涯提供支持：他们的目标是谁，他们需要什么，以及您需要什么。| 注册CSO简报。]

“现在，蜂窝服务是一个关键的基础设施，”Cyber​​eason的首席安全研究员，该报告的作者Amit Serper说。“真正让我担心的是他们拥有的访问权限 - 他们对网络的完全访问权限。他们能做的最糟糕的事情是破坏它，有一天只关闭了整个网络。“

Cyber​​eason没有透露涉及的十家电信公司，但Serper表示他们遍布欧洲，亚洲，中东和非洲。该公司表示尚未发现北美公司受到损害的证据。

该公司将此攻击归咎于中国附属的APT10威胁行为者，这是基于此前针对该组织的攻击所使用的工具，策略和程序的相似性。

威胁行为者获得了对电信网络的“完全控制”

根据Cyber​​eason的说法，攻击者大部分都以电话详细记录(CDR)的形式泄露了超过100GB的信息，可能是代表情报机构，可能是在七年的时间段内。“这是一次复杂的攻击而不是吵闹的活动，”塞珀说。“这是情报收集机构的战略行动。”

CDR包括呼叫和消息日志，设备信息和塔位置数据，可以为电话及其所有者提供物理位置。该元数据虽然不提供有关正在发送的呼叫和消息内容的信息，但可以提供人员移动和个人网络的详细图片，表明该工作是出于情报而非财务原因。“这些记录基本上包含了手机发送和接收蜂窝网络本身的所有原始信息和原始元数据。

据报道，在通过网络进行侦察和传播之前，攻击者通过易受攻击的面向公众的服务器获得了访问权限。通过妥协凭据，他们能够创建高权限的域用户帐户。“他们拥有自己的域管理员帐户，他们已经对整个Active Directory数据库进行了渗透，因此他们可以访问Active Directory中的每一条记录。

虽然似乎威胁演员的目标是情报收集，但该团队完全控制了网络，如果他们愿意，可能会关闭服务。“他们完全控制着网络。今天他们正在掏出CDR，但明天他们可以根据需要关闭网络。“

情报收集可能正在进行中

该小组专门针对各自的CDR信息定位了至少20个人，这表明这是针对某个机构的高度针对性的攻击，而不是任何机会主义的攻击。“他们不是在支付数据之后，他们没有窃取任何信用卡，”塞珀说。“他们偷走了CDR，这是非常非常非常具体的事情，而且，从我以前为情报机构工作，与情报收集相关的事情，对情报机构非常有用。”

Cyber​​eason已经对这项业务进行了9个月的调查，并已通知其客户和其他任何公司，他们认为这可能会受到损害。由于调查仍在进行中，该公司无法确定攻击是否已在受影响的网络上得到纠正。

由于Serper表示这些攻击的目标性质将揭示受害者，但Cyber​​eason最近与全球25家最大的电信公司的领导人会面，向他们提供了袭击的详细信息，但尚未公布妥协指标。

“公司应该审核谁可以访问他们拥有CDR的数据库并对其进行非常密切的监控，”Serper建议道。“确保所有面向外部的服务器都已完全修补，并且它们上没有易受攻击的代码。”

谁是APT10?

虽然在这种情况下归属很困难，并且攻击可能是由另一个团体使用模仿策略进行的，但Cyber​​eason说它可以“很有可能”声称这次袭击是一个民族国家或国家支持的威胁演员，该公司确信它可能是APT10。

“工具和行为以及程序，策略，一切都指向中国，实际上指向一个特定的群体。我们认为这是APT10，但它也可能是APT3，“Serper说。

APT10，也称为Menupass团队，自2009年以来一直活跃，并被认为代表中国工作。该集团此前曾瞄准建筑和工程，航空航天和电信公司，以及美国，欧洲和日本的政府。

2016年，他们被定位为针对托管服务提供商(MSP)的广告系列，该广告系列被普华永道称为Operation Cloud Hopper。相关恶意软件包括Haymaker，Snugride，Bugjuice和Quasarrat。2018年12月，被指控参加APT10并与中国国家安全部合作的两名中国人被美国司法部起诉。

对于这次攻击，该小组使用了已知工具的定制版本，其中许多工具经常用于归因于与Chinse相关的威胁演员的攻击。其中包括Poison Ivy远程访问工具(RAT)的定制版本，China Chopper Web shell，经过修改的nbtscan工具，以及“非常高度修改和定制”的凭证窃取工具Mimikatz版本。

Serper说，除了确保工具在他们所针对的环境中工作之外，许多修改都是为了避免安全产品的检测。小组行动缓慢，有时等待几个月。“这就是我们所说的低速和慢速攻击。有时他们需要定制工具以使他们的工具在网络内正常工作，有时候他们可能会认为他们被检测到，所以他们改变了一些东西，所以他们不会被发现。“

Cyber​​eason认为攻击者可能已经在被攻陷的网络上长达七年之久。“在一些违规行为中，我们发现旧版本的恶意软件与早在七年前到2012年的漏洞相对应。”

虽然这可能不是攻击时间的明确指标，但威胁演员的存在时间足够长，以至于觉得值得安装自己的VPN系统以便更轻松地访问网络。

“这是非常厚颜无耻的。如果他们已经在网络中工作了七年，并且他们的访问仍然存在，也许他们认为他们是不可触及的，他们会有点自大。七年后谁不会?“

电信需要提升他们的网络安全游戏

虽然最近对华为的5G和电信安全的关注大部分都集中在华为上，但这次攻击显示电信公司在下一代蜂窝连接之前仍在追赶安全问题。根据EfficientIP的2018年全球DNS威胁报告，三分之一的电信公司在过去12个月内丢失了敏感的客户信息。

在最近的一次活动中，NCSC首席执行官Ciaran Martin声称，“过去电信市场的运作方式存在结构性和持续性问题，并没有激励足够好的网络安全。我们需要利用这个机会从根本上改变我们的电信安全方式，以便将网络安全和弹性融入我们的基础设施。因此，5G安全性远远超过华为。“

当被问及安全操作是否有助于Soft Cell的成功时，Serper为电信公司辩护。“如果一个民族国家有兴趣进入某个地方，他们就会进入。这只是时间问题以及他们想要投入的努力和资源的数量。最终，它会发生，他们将获得访问权。我认为它不一定能说出被攻击组织的安全状况。