中国のハッカークルーらは、メタデータを盗むために10社の電話キャリアを狙った。


だれでものために 自分の電話が自分の居場所、電話をかけた日時、自分の生活の詳細を記述するその他のメタデータを追跡するためにハッキングされる可能性があることを心配して、あるサイバースパイグループはハッカーが必ずしもあなたに手を差し伸べる必要さえないというリマインダーを提供しましたそのアクセスを得るための装置。洗練されたストーカーがモバイルプロバイダに侵入し、そのデータを使ってどちらの顧客を調査しても調査するのは、はるかに簡単で効率的です。

月曜日の夜、ボストンに拠点を置くサイバーセキュリティ会社Cyber​​easonの研究者たちは、彼らがOperation Soft Cellと呼ぶ1年にわたるサイバースパイキャンペーンを追跡した結果を明らかにしました。そして、そのハッキングキャンペーンへの研究者の可視性が不完全である間、彼らはそれがおそらく中国に拠点を置く多産であるが非常に標的を絞ったスパイキャンペーンであるように思われると言います。 Cyber​​easonの顧客に影響を及ぼした10件の侵害のうちの1件で、ハッカーが被害者のネットワークに深くアクセスし、20人の特定の個人の電話の使用状況と場所に関するギガバイトのメタデータを盗んだことを発見した。

Cyber​​easonによると、ハッカーが実際の通信内容を被害者から盗んだという証拠は見つかっていないが、同社の主要なセキュリティ研究者であるAmit Serperは、メタデータだけでデバイスとSIMの識別子、通話記録、そして携帯電話はどのセルタワーに接続したかいつでも – ターゲットの人生の驚くほど高解像度の写真を提供することができます。 「そのメタデータは、あなたが言っている内容よりも重要な場合があります」と、以前イスラエルの諜報機関で働いていたSerperは言います。 「それは、諜報機関があなたの全体像を構築することを可能にします:あなたが話している人、あなたの同僚や同僚は誰ですか、いつ目覚めて就寝しますか。これらは貴重な情報です。」

それは彼らがアジア、アフリカ、中東、およびヨーロッパの携帯電話プロバイダーを含んでいたことを指摘していますが、Cyber​​easonはこの攻撃の犠牲になった企業や個人を名前にすることはありません。北米は彼らの知識に影響を受けなかった。同社の研究者らは、侵入者が少なくとももう1年間存在していたという証拠を含む、1年前に顧客のネットワークへの侵入を初めて検出したと発表し、キャンペーンは2017年までさかのぼります。

研究者がその攻撃のタイムラインを再構築したところ、スパイは被害を受けた会社のネットワーク上で最初の足がかりを得るために脆弱なWebサービスを悪用し、その後カスタマイズされたバージョンの共通ツールMimikatzを使用してユーザー名とパスワードを削除しましたこれらの認証情報を使用し、ドメイン管理者がアクセスできるようになるまでマシン間で拡散するプロセスを繰り返し、会社のネットワークを完全に制御できるようにします。 「その時点で、彼らは影のIT部門になりました」とSerperは言います。

最終的に、ハッカーは暗号化された接続を介して自由に侵入できるように、ネットワーク上に独自のVPNシステムをインストールすることさえしました。 Cyber​​easonによると、スパイは最終的に「通話詳細記録」またはCDRデータベースにアクセスし、追跡対象として選んだ20人の個人に関するデータを暗号化して盗み出しました。そして、Cyber​​easonが運用の背後で指揮統制サーバーを捜したとき、彼らは少なくとも9つの他の携帯電話プロバイダーのターゲットをターゲットにしたアクティブオペレーションにリンクされているように見えました。実際に危殆化していたか、盗まれた可能性があります。

「メタデータにより、インテリジェンスサービスはあなたの全体像を構築することができます。」

Amit Serper、Cyber​​eason

Cyber​​easonは、携帯電話会社の事件の背後にあるハッカーは、おそらく中国政府のサービスの下で働いていると考えています。彼らのスパイ活動の過程で、侵入者はCyber​​easonと他の人々がChina Chopperと呼ばれるWebシェル、Poison Ivyリモートアクセス型トロイの木馬、およびスキャンツールnbtscanを含む中国の国家スパイと関連する一連のツールを使用しました。ハッカーの広範なターゲット設定にもかかわらず、彼らは中国本土の被害者をターゲットにしていないようでした。また、インフラストラクチャを標的としたスパイに目を向けていることは、忍耐強いスパイを目的としてクラウドサービスプロバイダからソフトウェアサプライチェーンに至るまですべてを妥協した中国のハッカーの戦術にも当てはまります。

Serperによると、メタデータを盗むことは諜報機関にとって前例のないトリックではない。しかし彼は、同じ事業をターゲットにしている10の携帯電話会社はもっと稀だと言っている。 「私たちは、情報サービスがどのように機能するかを知っています。そして、それは私たちが今まで見たことのないことではありません」とSerperは言います。 「しかし、私たちはこの規模を見たことがありません。」

セキュリティ会社CrowdstrikeとFireEyeのアナリストはCyber​​easonの調査結果を確認できなかったと述べたが、両社は実際、個人追跡と2人の迂回の両方のために、ロシアやイランの国家主催ハッカーを含む携帯電話プロバイダーを広く標的にしているワンタイムパスコードとして電話に送信されたSMSメッセージを傍受する – 要素認証。 FireEyeの脅威インテリジェンスを率いるJohn Hultquist氏は、次のように述べています。 「彼らはバックボーンに向かって動いていて、プロバイダが何人かのターゲットを追うのではなく、たくさんのデータにアクセスできるようにしています。彼らはより高いレベルのアクセスを得て、彼らの露出を制限しています。」

少なくとも1つのスパイ機関は、少なくとも国内では、メタデータ収集から後退しているようです:NSAは、2013年にエドワードスノーデンがプログラムの存在を明らかにした後の長年の論争の後、3月に米国のメタデータ収集プログラムを静かに打ち切りました。 Soft Cellが示しているように、メタデータは外国のハッカーにとって魅力的なターゲットであり続けています。


もっと素晴らしいWIREDストーリー