Image Cyber Espionnage
Cyber Espionnage

Opération Soft Cell : quand les opérateurs télécom perdent le signal

Pendant sept ans, une campagne de cyber espionnage à l'échelle mondiale a ciblé des opérateurs de télécommunications. L'opération Soft Cell a entraîné la perte de plus de 100 Go de données d'enregistrement d'appels à travers le monde ! Mais les risques étaient bien plus grands puisque les attaquants, même s'ils ne l'ont pas fait, étaient en capacité de couper les réseaux cellulaires. Un phénomène informatique qui a grandement contribué au changement des mentalités des entreprises en matière de cybersécurité. Opérant depuis 2012 sur un mode « low and slow », le groupe d'attaquants agissait "doucement mais sûrement".

Par Amit Serper, Mor Levi, Assaf Dahan, Cybereason

En 2018, 30 % des entreprises de télécommunications, en France également, ont signalé que des informations confidentielles concernant leurs clients avaient été volées suite à une attaque. Ces opérateurs de télécommunications ont connu une croissance significative en offrant un service hautement disponible et sont devenus de facto des fournisseurs d'infrastructures essentiels.

Des groupes de hackers, notamment affiliés à des États-nation, recherchent des opportunités pour attaquer ce type d’organisations en menant des opérations complexes, très élaborées, pour tirer parti de ces attaquess'emparer d'actifs stratégiques et recueillir des informations confidentielles.

L'année dernière, l'équipe de recherche Cybereason Nocturnus a demontré qu’un tel groupe avait ciblé spécifiquement des opérateurs de télécommunications depuis au moins sept ans. Cybereason a réalisé un examen complet « post-incident » de ces attaques lequel a permis d’identifier les changements opérés au niveau des modèles d'attaque et la fréquence trimestrielle de ces activités.

Cette attaque multi-phases s'est concentrée sur l’acquisition de données de cibles spécifiques à forte valeur et a abouti à la prise de contrôle complète du réseau. Le groupe à l’origine de cette attaque cherchait principalement à obtenir des données « CDR » (journaux d'appels, emplacements des tour de relais, etc.) appartenant à des individus de différents pays.

Points clés

  • Cybereason a identifié une attaque persistante avancée ciblant des opérateurs de télécommunications, qui se poursuivait depuis des années, peu de temps après son déploiement dans l'environnement d’un client.
  • Selon les informations dont dispose Cybereason, l’Opération « Soft Cell » a été active depuis au moins 2012, mais certaines données indiquent même des activités antérieures de ce groupe de hackers à l'encontre d'opérateurs de télécommunications.
  • Les auteurs ont tenté de voler toutes les données stockées dans l’Active Directory, de compromettre la confidentialité de tous les noms d'utilisateur et mots de passe au sein de cette entreprise, ainsi que chaque information permettant une identification personnelle, des données de facturation, des registres des détails des appels, des identifiants, des serveurs de courrier électronique, la géolocalisation d'utilisateurs, et bien d'autres encore.
  • Les outils et les techniques utilisées (TTP)  sont généralement associés avec des groupes d’origine chinoise.
  • Au cours de l'attaque persistante, les auteurs ont travaillé en plusieurs phases et abandonnaient le fil d'attaque une fois détectés et stoppés, pour y revenir quelques mois plus tard avec de nouveaux outils et de nouvelles techniques.

 

Recommandations de sécurité informatique pour les opérateurs de télécommunications

  • Ajoutez une couche de sécurité supplémentaire pour les serveurs Web. Par exemple, utilisez WAF (Web Application FW) pour prévenir des attaques triviales sur les serveurs Web orientés Internet.
  • Exposez aussi peu de systèmes ou ports à Internet que possible. Assurez-vous que tous les serveurs Web et services Web qui y sont exposés disposent des correctifs pertinents.
  • Utilisez un outil EDR pour fournir une bonne visibilité et des capacités de réaction immédiate lorsque des incidents très graves sont détectés.
  • Cherchez régulièrement de manière proactive les actifs dont la nature est confidentielle et sensible au sein de vos environnements.

En résumé, bien que ces attaques visaient des individus spécifiques, il est important de ne pas oublier que toute entité, possédant le pouvoir de prendre le contrôle des réseaux des opérateurs de télécommunications, peut potentiellement tirer parti de cet accès et ce contrôle du réseau non autorisés, pour perturber ou fermer tout un réseau cellulaire, dans le cadre d'une opération de cyberguerre de plus grande ampleur.