Nous accordons une grande confiance à notre expérience mobile, qui est l’un de nos compagnons les plus constants. D’énormes quantités de données, liées à un appareil que nous emportons toujours avec nous, offrent fréquemment des fonctionnalités supplémentaires. Une richesse d’informations étonnante, pour tous ceux qui ont l’audace d’essayer de les prendre.

La société de sécurité Cybereason a découvert une étonnante attaque baptisée «Opération cellule douce» qui hante au moins dix réseaux cellulaires basés dans le monde entier. Au cours des sept dernières années, ils ont recherché toutes sortes d’informations détaillées sur 20 à 30 cibles.

Que s’est-il passé ici?

Le compromis, auquel les chercheurs ont très probablement attribué une attaque d’État-nation, a été très compliqué pour définir leurs objectifs de grande valeur. Les attaquants ont d’abord pris pied en ciblant un serveur connecté au Web et en exploitant un exploit pour y accéder. Un shell serait alors placé pour permettre une activité non autorisée supplémentaire.

Dans ce cas particulier, une version modifiée du célèbre China Chopper a été déployée pour effectuer des tâches spécifiques. C’est assez flexible, capable de fonctionner sur plusieurs plates-formes de serveur. C’est aussi assez vieux, il remonte à plusieurs années. Je suppose qu’il n’ya pas de mélodies comme les classiques.

Grâce à China Chopper et à divers autres outils de compromis, les attaquants pourraient utiliser les informations d’identification de la première machine pour explorer plus en profondeur le réseau. Des RAT usés comme PoisonIvy ont été utilisés pour assurer un accès continu aux périphériques compromis.

En fin de compte, ils prendraient le contrôle du contrôleur de domaine et à ce stade, c’est essentiellement le jeu fini pour l’organisation ciblée.

jour de la marmotte

Il semble que les criminels aient réutilisé diverses techniques pour contourner les différents réseaux cellulaires, sans grande résistance. Parlez de « Si ce n’est pas le cas, ne le corrigez pas. » La propriété de certaines organisations était donc totale, ce qui leur permettait de configurer des services VPN pour permettre un accès rapide et persistant sur les réseaux détournés au lieu de prendre la route beaucoup plus lente. et se connectant via plusieurs serveurs compromis.

S’ils craignaient d’être pris en flagrant délit, ils ne le montreraient certainement pas. En fait, à la lecture du rapport principal, il semble que dans les cas où il y avait eu un certain recul, ils se sont contentés de faire une boucle et d’essayer jusqu’à ce qu’ils réussissent, attaquant par vagues décalées sur une période de plusieurs mois.

Les bijoux de la couronne

La plupart du temps, les attaques sur les serveurs Web donnent lieu à un courrier électronique de la part de Moi-même et vous permettent de savoir quelles informations personnelles ont été renvoyées sur le Web cette fois-ci. Pas ici, cependant – cela ne se terminera jamais par un vidage de nom d’utilisateur / mot de passe

Les assaillants ont pillé les réseaux cellulaires et ont eu accès à pratiquement tout ce à quoi vous pouvez penser. Dans les cas où la cible était totalement compromise, tous les noms d’utilisateur / mots de passe étaient saisis, ainsi que les informations de facturation et divers types de données personnelles.

Cependant, le gros prix ici n’a pas été de pouvoir tout mettre sur un Pastebin ou de le télécharger sur les réseaux sociaux comme un jeu gratuit; rien d’aussi fade. Au lieu de cela, il était possible de s’asseoir sur ces deux données en toute tranquillité aux côtés de centaines de giga-octets d’enregistrements des détails des appels. Comme vous le verrez, c’est une mauvaise chose.

Enregistrement des informations sur les appels: de quoi s’agit-il?

Bonne question.

Les enregistrements de détail d’appel concernent uniquement les métadonnées. Ils ne vous donneront pas le contenu de l’appel lui-même, mais ils vous donneront à peu près tout le reste. Elles sont utiles pour une variété de choses: litiges de facturation, enquêtes de police, recherche de personnes, génération de factures, volumes d’appels / traitement pour les entreprises et bien plus encore. Non seulement ils évitent les enregistrements de conversations, ils évitent également les informations de localisation spécifiques.

Néanmoins, les modèles de comportement sont faciles à comprendre. Un CDR typique pourrait inclure:

  • Votre interlocuteur
  • Bénéficiaire
  • Heure de début / fin d’appel
  • Numéro de facturation
  • Voix / SMS / autre
  • Un numéro spécifique utilisé pour identifier l’enregistrement en question
  • Comment l’appel est entré / sorti de l’échange

Si vous souhaitez cibler des personnes spécifiques, ces données constituent au fil du temps une ressource incroyable pour un attaquant. Certains préfèreront peut-être l’ancien scénario du type pièce jointe spear phish / malware, mais si vous ciblez directement la cible, il est fort possible que quelqu’un le découvre. Lorsque les cibles ont une grande valeur, elles disposeront presque certainement de mesures de sécurité supplémentaires. Par exemple, les journalistes qui couvrent des violations des droits de l’homme dans des régions dangereuses du monde travaillent souvent avec des organisations qui gardent un œil sur les attaques potentielles.

Cette méthode, qui vise à creuser lentement dans les coulisses et à l’écart de quiconque utilise ces réseaux, est beaucoup plus sournoise. Selon la façon dont les choses se déroulent, il est tout à fait possible qu’ils ne sachent jamais qu’ils ont été compromis par un proxy.

Caché à la vue

Avec des méthodes telles que celle-ci, les personnes derrière la chaîne de malwares de logiciels malveillants disposent d’une incroyable tranche d’accès à l’individu sans risque spécifique direct. À ce stade, tout dépend de la qualité du verrouillage du réseau cellulaire, de la sécurité de celui-ci, de la qualité de son équipe de réponse aux incidents, etc.

Si (par exemple) ils ne repéraient pas de nombreuses attaques, laissaient des serveurs vulnérables en ligne, laissaient deviner des signes avant-coureurs, laissaient des RAT connus comme PoisonIvy danser sur leur réseau, permettaient aux hackers de mettre en place une multitude de nœuds VPN… eh bien, vous pouvez voir où je vais avec cela.

Quelques années plus tard, je vais là où je vais et une grosse tranche de «Oh, mon Dieu».

Conséquences

Eh bien, tout d’abord, ne paniquez pas. Il convient de noter qu’il n’ya pas encore de vérification supplémentaire en dehors du rapport de menace initial. Il est clair que quelque chose de grave s’est passé ici, mais quant à sa gravité, nous laisserons cela à d’autres pour en débattre.

Qu’il s’agisse d’un groupe d’assaillants de haut niveau approuvé par un État-nation ou d’un groupe aléatoire d’ennuyés dans un appartement, d’une manière ou d’une autre, ces réseaux de cellules portaient un certain nombre de numéros. L’impact sur les individus capturés est le même et on suppose qu’ils ont été informés et que les mesures appropriées ont été prises. Nous ne pouvons qu’espérer que les réseaux cellulaires concernés ont à présent pris les mesures appropriées et renforcé leurs défenses.