Китайские хакеры, предположительно, годами оставались незамеченными в зарубежных телефонных сетях

Исследователи безопасности из Sygnia обнаружили атаку после реагирования на другой инцидент. Атака была приписана китайской государственной группе угроз Weaver Ant, которая годами скрывалась, крадя конфиденциальные данные и перемещаясь по сети.

По словам исследователей кибербезопасности Sygnia, китайские государственные хакеры, предположительно, провели четыре года в инфраструктуре ИТ крупного азиатского провайдера телекоммуникационных услуг. Об этом стало известно после того, как специалисты Sygnia обнаружили кампанию кибершпионажа, реагируя на другой инцидент.

В техническом отчете Sygnia говорится, что во время расследования другого дела по компьютерной криминалистике были обнаружены несколько предупреждений о безопасности, сигнализирующих о подозрительной активности. Кроме того, была повторно активирована ранее отключенная учетная запись, что вызвало еще большее недоверие.

При более глубоком анализе исследователи обнаружили веб-оболочки China Chopper, а также множество других вредоносных полезных нагрузок, используемых для перемещения по сети и хищения данных.

Они пришли к выводу, что злоумышленники, получившие название Weaver Ant, были китайскими, поскольку их тактики, использование China Chopper, сетей ORB и других инструментов, часы работы и выбор цели (критическая телекоммуникационная инфраструктура) указывали именно на это. Sygnia не хотела раскрывать, кто из азиатских провайдеров телекоммуникационных услуг является "крупным", но заявила, что начальные векторы доступа были уязвимыми маршрутизаторами Zyxel.

Кроме того, компания добавила других провайдеров телекоммуникаций Юго-Восточной Азии в число жертв, поскольку их скомпрометированные маршрутизаторы Zyxel использовались в атаке. Weaver Ant удалось успешно поддерживать долгосрочный доступ, выгружать конфиденциальные данные и перемещаться по системам компании, заключила Sygnia. Целью было шпионаж - собрать как можно больше информации о критической инфраструктуре.

Несмотря на многочисленные попытки удалить их, Weaver Ant смог удержаться, - говорится в заключении.

"Государственные хакеры, такие как Weaver Ant, невероятно опасны и стойки, с основной целью проникновения в критическую инфраструктуру и сбора как можно больше информации, прежде чем быть обнаруженными", - сказал Орен Бидерман (Oren Biderman), руководитель реагирования на инциденты в Sygnia.

Weaver Ant поддерживал активность в скомпрометированной сети более четырех лет, несмотря на многократные попытки устранить их из скомпрометированных систем. Злоумышленники адаптировали свои тактики к меняющейся сетевой среде, что позволяло им непрерывно получать доступ к скомпрометированным системам и собирать конфиденциальную информацию".