Эксперты Microsoft Threat Intelligence Center рассказали о серии кибератак, направленных против телекоммуникационных компаний. Хакерская группировка, получившая название GALLIUM, использует уязвимости веб-сервисов, чтобы проникнуть в сеть и добраться до клиентских данных, биллинговой информации, журналов звонков.

По данным СМИ, первыми об этих атаках еще в июне сообщили исследователи Cybereason — в 2018 году они обнаружили кампанию Operation Soft Cell, которая затронула 10 крупных сотовых операторов и сотни тысяч их клиентов. Как установили эксперты, вредоносная активность идет с 2012 года, а к организации целевых атак предположительно причастны китайские киберпреступники, действующие под прикрытием правительства.

В отчете Microsoft операция Soft Cell не упоминается, однако обе кампании обладают схожими характерными особенностями. Для первичного проникновения злоумышленники используют распространенные эксплойты к веб-сервисам наподобие WildFly (ранее JBoss). Далее они берут инфраструктуру под контроль с помощью нескольких слегка переработанных легитимных утилит и выкачивают конфиденциальные данные.

Инструментарий GALLIUM

Эксперты полагают, что злоумышленники не готовы слишком много инвестировать в инфраструктуру и тратить ресурсы на создание собственных вредоносных средств. Они используют готовые решения с небольшими изменениями, которые привносятся для минимальной маскировки от антивирусных систем, и подписывают их крадеными сертификатами разработчика. Управляющие серверы размещены на динамических DNS-субдоменах, расположенных в Китае, Гонконге и на Тайване.

Применение эксплойтов избавляет GALLIUM от необходимости взаимодействовать с пользователями целевой организации. Вспомогательные утилиты группировка доставляет через веб-оболочку. Эти программы позволяют провести разведку внутри инфраструктуры, собрать пользовательские логины и пароли. Конечной целью является любая персональная информация, включая журналы звонков, биллинговые и геолокационные данные клиентов.

Аналитики насчитали в арсенале GALLIUM семь основных утилит, позволяющих устанавливать прокси-соединения, открывать на машинах командную строку, искать серверы в локальной и удаленной сети. В некоторых случаях взломщики разворачивали в инфраструктуре VPN-программу SoftEther, обеспечивая себе надежное присутствие в корпоративной сети и возможность скрывать подозрительный трафик.

Из зловредного ПО преступники используют модификации давно известных программ удаленного администрирования Gh0st и Poison Ivy. В обоих случаях злоумышленники изменили метод коммуникации, чтобы не вызывать срабатывание защитных систем.

Кроме того, группировка доработала веб-оболочку China Chopper, которую эксперты нередко замечают в кампаниях китайских киберпреступников. Обновленный вариант утилиты, получивший название BlackMould («черная плесень»), умеет работать с локальными жесткими дисками, проводить базовые операции с данными, выгружать и скачивать файлы, запускать командную строку с заданными параметрами. Для управления оболочкой используются HTTP-запросы POST.

Как защититься от GALLIUM

Основная часть обнаруженных Microsoft инцидентов приходится на период с начала 2018 года по середину 2019-го. Судя по всему, активность GALLIUM идет на спад, однако аналитики не спешат говорить о полном прекращении деятельности этой группировки.

Чтобы защититься от возможных атак, организациям следует вовремя обновлять используемые веб-сервисы и по возможности запускать их с минимальным набором привилегий. Кроме того, исследователи рекомендуют регулярно проверять журналы сетевой активности и настроить защитные системы на обнаружение попыток вывода учетных данных.

Эксперты подчеркивают, что телекоммуникационные компании представляют собой привлекательную цель для преступников, поскольку они собирают много ценной информации как о частных пользователях, так и об организациях. Ранее исследователи выяснили, что именно эта отрасль больше всего страдает от предустановленных на Android-устройствах зловредов — во II квартале 2019 года с подобными атаками столкнулись около 30% телеком-провайдеров. Среди образовательных организаций, которые оказались на втором месте в этом рейтинге, доля атакованных сетей составила 5%.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры