APT攻击Telcos突出了全面防御
安全研究人员已经发现了一个全球网络攻击活动,这些活动受到了超过十几家电信公司,包括移动网络运营商,并举行大量公司和个人数据。
根据美国 - 以色列网络安全公司Cyber ay的研究人员,违规是大规模的,潜在的影响超过数亿消费者。
他们说,从大型电信提供商盗窃的数据有可能对任何国家都有价值,因为它可以用来跟踪任何客户的物理位置,包括外国情报代理,政治家和执法人员。
2018年,研究人员确定了一个针对全球电信提供商的高级持久威胁(APT)活动,该威胁由威胁演员使用与中文关联威胁演员APT10通常相关的工具和技术进行。
研究人员表示,“我们已经结束了威胁演员的威胁演员,威胁演员被宣布,并且可能是赞助的国家。
研究人员发现,这些糟糕的演员自己自己拥有网络,并建立了虚拟专用网络(VPN),为方便起见。
他们说,这种多波攻击,在获取特定的高价值目标的数据上,并导致网络完整收购。
Cyber Alicon声称袭击者的动机是军事行动之一,目标是外国情报代理商,政治家,执法官员,选举和高级商业管理人员的反对候选人。
研究人员所说的威胁演员,能够窃取存储在目标电信的活动目录中的所有数据,在组织中忽略了单个用户名和密码,以及其他个人身份信息,结算数据,呼叫详细记录,凭据,电子邮件服务器,用户的地理位置等等。
研究人员指出,即使在他们的普遍暴露之后,威胁演员也没有关闭TheatTack。攻击者简单地推出了新的工具和技术来恢复对数据的访问。
研究人员表示,这尤其令人震惊,因为关键基础设施依赖于蜂窝或移动通信网络。
研究人员在博客文章中警告说,攻击者可以随时随地做任何他们想要的东西,但他们可能会激活并关闭网络。
Javvad Malik,安全意识倡导者,SawNE4,说,当它来到国家赞助的Cyber间谍活动时,许多公司无法识别威胁并捍卫自己。
“这是主要原因之一是风险的总体前景。我们看到了很多次,攻击者不会直接追随目标公司,而是他们将尝试在供应链中的公司瞄准公司,这不太可能认为他们对攻击者有任何重要性,“他说。
“经常,攻击者不会直接追随目标公司,而是他们将尝试在供应链中的公司瞄准公司,这不太可能认为他们对攻击者的任何重要性”Javvad Malik,InvenBe4“我们也发现了什么,就是这些持续攻击很少在一个前面完成,而是他们依靠多次攻击途径和技术,涵盖技术,物理和人类攻击。因此,公司应该希望在所有途径上投资防御。
“这将包括具有全面的威胁保护,检测和响应能力 - 同样投入提高意识和培训人员,以免成为网络钓鱼或社交媒体攻击的受害者,”他补充道。
Web安全公司ImmuniWeb的创始人兼首席执行官Ilia Kolochenko表示,由于艰难的竞争和有限的预算,许多大型电视台努力维持一个体面的网络安全水平,以及在其场所的新硬件和基础设施的不断增加。
“因此,一些甚至没有任何形式的最新资产库存,特权分离或内部安全监测,”他说。
鉴于客户的有价值数据量,Kolochenko表示,电信是对网络罪犯有吸引力的目标。
“遗憾的是,Cyber ay报告及其调查结果并不令人惊讶。彻底的调查可能会检测到世界上任何大型电信的复杂和未被侵入的入侵。他们的客户可以做到这一点,但假设所有沟通渠道都是不安全和加密的所有流量,“他说。
Cybereason研究人员建议组织可能通过APT团体以这种方式定位:
为Web服务器添加安全层,例如Web应用程序防火墙(WAF),以防止对面向Internet的Web服务器进行琐碎的攻击;尽可能少量的系统或端口到Internet,并确保所有Web服务器和Web服务曝光是修补的;使用端点检测和响应(EDR)工具在检测到高严重性事件时给出可见性和即时响应功能。