Sicherheitsforscher haben einen Diebstahl von Gesprächsaufzeichnungen (konkret geht es um die Metadaten, und nicht um die Gesprächsinhalte an sich) von gehackten Mobilfunkanbietern aufgedeckt. Das wurde vermutlich die letzten sieben Jahre wohl gezielt zur Überwachung von Zielpersonen missbraucht.
Anzeige
Forscher von Cybereason mit Sitz in Boston haben eine massive Spionagekampagne aufgedeckt. Von den Akteuren wurden gezielt Gesprächsaufzeichnungen von gehackten Mobilfunkanbietern gestohlen. Ziel war die Überwachung der Telefonkommunikation von Zielpersonen. Die Forscher haben ihre Erkenntnisse TechCrunch mitgeteilt, die das Ganze hier veröffentlicht haben.
Die Hacker sind in den letzten sieben Jahren systematisch in mehr als 10 Mobilfunknetze auf der ganzen Welt eingebrochen, um riesige Mengen an Anrufaufzeichnungen – einschließlich Zeiten und Daten von Anrufen und deren zellbasierten Standorten – von mindestens 20 Personen zu erhalten.
- Anfang des Jahres identifizierte Cybereason einen fortgeschrittenen, anhaltenden Angriff auf Telekommunikationsanbieter, der seit Jahren läuft.
- Cybereason unterstützte die Telekommunikationsanbieter später während vier weitere Angriffswellen im Laufe von sechs Monaten.
- Basierend auf den gewonnenen Daten geht Cybereason davon aus, dass die Operation 'Soft Cell' seit mindestens 2017 läuft. Es gibt wohl einige Hinweise auf eine noch frühere Aktivität der Hacker gegen die Telekommunikationsanbieter.
Ziel des Angriffs war es, die CDR-Daten (steht für Call Details Record, also die Metadaten eines Telefongesprächs) eines großen Telekommunikationsanbieters zu erhalten. Damit konnte der Angreifer an die Daten und den Aufenthaltsort von Personen wie Politikern oder Spionen und Geheimdienstmitarbeitern heran kommen. Der Zugriff gelang wohl in einem Fall über eine Schwachstelle in einem Webserver, der an das Netzwerk des Mobilfunkanbieters eingebunden war. Danach versuchten die Angreifer jede einzelne Maschine im Netzwerk auf Schwachstellen abzuklopfen und Zugangsdaten abzugreifen.
- Der Angreifer versuchte, alle im Active Directory gespeicherten Daten zu stehlen, wobei er jeden einzelnen Benutzernamen und jedes einzelne Passwort in der Organisation kompromittierte.
- Anschließend wurden diese Daten mit anderen persönlich identifizierbaren Informationen, Abrechnungsdaten, Anrufdetailaufzeichnungen, Anmeldeinformationen, E-Mail-Servern, Geolokalisierung von Benutzern und mehr abgezogen.
Die verwendeten Tools und TTPs werden häufig mit den chinesischen, staatsnahmen Hackern der APT10-Gruppe in Verbindung gebracht. Während der Angriffe arbeiteten die Angreifer in Wellen. Wurde ein Angriff entdeckt und gestoppt, stellten die Hacker die Aktivitäten ein, um Monate später mit neuen Werkzeugen und Techniken zurückzukehren. Das Ganze wurde in diesem Beitrag von den Sicherheitsforschern dokumentiert. Techcrunch hat hier ergänzende Informationen veröffentlicht. Nachtrag: Telekom & Co. weisen diesem heise-Artikel zufolge zurück, dass sie gehackt wurden.
Anzeige
Anzeige
Ne, haben sie nicht. Also Gesprächsaufzeichnungen.
"Nur" Metadaten.
[zitat]Call detail records — or CDRs — are the crown jewels of any intelligence agency's collection efforts. These call records are highly detailed metadata logs generated by a phone provider to connect calls and messages from one person to another. Although they don't include the recordings of calls or the contents of messages, they can offer detailed insight into a person's life.[/zitat]
Da ist was parallel gelaufen – hatte das schon vor einer Weile präzisiert – aber der Beitrag ist in Stufen online gegangen ;-).
Tja, welche staatlichen Schlapphüte da aktiv waren ließe sich wohl nur abschätzen, wenn man die Liste der getrackten Personen kennen würde.
Aufgrund der verwendeten Tools auf ein bestimmtes Land zu schließen funktioniert nicht. Die Dienste kennen diesen Ansatz natürlich auch und imitieren Tools und Vorgehensweisen von anderen Akteuren in diesem Haifischbecken, um von sich selbst abzulenken.
Die Überlegung ist schon nicht von der Hand zu weisen. Aber die Kombination von Tools mit bestimmten Vorgehensweisen, samt dynamisch neue eingesetzter Tools liefert so etwas wie einen Fingerabdruck, aus dem man schon mal Rückschlüsse ziehen kann. Muss nicht alles zutreffen – aber man kann dann mit Wahrscheinlichkeitswerten zwischen 0 und 1 operieren. Und ich würde sagen, dass die Wahrscheinlichkeitswerte, dass es ATP10 war, sehr hoch liegen.