China soll Metadaten von VIPs bei zehn Telcos gestohlen haben

2018 seien APT-Attacken gegen Telcos rund um die Welt entdeckt worden, dies meldet das Security-Startup Cybereason. Auch europäische Telcos seien seit mindestens 2017 in mehreren Wellen attackiert worden, so die Firma, ohne aber Namen zu nennen.
 
Anhand der verwendeten Tools und Techniken glaubt die Firma, "mit hoher Gewissheit" auf APT10 als Angreifer schliessen zu können. Falls Cybereason Recht hat, so würde eine Gruppe verantwortlich sein, die seit mindestens zehn Jahren aktiv ist und laut diversen Security-Firmen in China beheimatet ist.
 
Die Hacker hätten sich für Einzelgesprächsnachweise interessiert. Und bei mindestens einem grossen Telco könne man nachweisen, dass die Angreifer versuchten, alle im Active Directory gespeicherten Daten zu stehlen: Dabei kompromittierte man "jeden einzelnen Benutzernamen und jedes einzelne Passwort in der Organisation, zusammen mit anderen persönlich identifizierbaren Informationen, Abrechnungsdaten, Anrufdetailaufzeichnungen, Anmeldeinformationen, E-Mail-Servern, Geolokalisierung von Benutzern und mehr", so der Blog-Post.
 
Dabei, so stellt der Bericht klar, sei es nicht um Daten aller möglichen Telco-Kunden gegangen, sondern um wenige, spezifische Einzelpersonen in mehreren Ländern. Von 20 bis 30 ist die Rede, ob darunter Politiker, Diplomaten oder Wirtschaftsführer sind, wird nicht gesagt. "Diese Art der gezielten Cyberspionage ist in der Regel die Arbeit von nationalstaatlichen Akteuren", heisst es jedenfalls.
 
Ein erfolgreicher Angriff wird beschrieben. Dieser begann mit einer bekannten, bösartigen Web-Shell namens "China Chopper", die auf einem verwundbaren, via Web zugänglichen Server lief. Von hier an sammelten die Angreifer Informationen über das Netzwerk und breiteten sich über das Netzwerk aus. Dabei versuchten sie Datenbankserver, Abrechnungsserver und das Active Directory zu kompromittieren. Offenbar konnten sie zumindest ein Netzwerk komplett infiltrieren, so der Blogpost.
 
Um Credentials zu stehlen nutzten die Angreifer eine modifizierte Version von "mimikatz", ein Tool, das seit längerem bekannt und beliebt ist bei Security-Testern wie Hackern.
 
Ein weiteres eingesetztes Tool sei "PoisonIvy" gewesen, das auch Screenshots und Keylogging ermögliche und das bei chinesischen Hacks regelmässig gefunden werde. Auch die Tools, um sich innerhalb der Netzwerke zu bewegen, seien bekannt.
 
Der Diebstahl dann sei mit modifizierten Versionen bekannter Extraktionstools erfolgt. Die Entdecker bei Cybereason, einem US-Startup mit israelischen Wurzeln, gaben der Operation den Namen "Soft Cell".
 
Metadaten abgreifen ist also nach wie vor interessant, auch wenn eine bekannte Spionage-Organisation offenbar darauf verzichtet: Die NSA hat ihr dank Edward Snowden bekanntgewordenes Metadaten-Sammelprojekt 2018 angeblich beendet. (mag)