Le spécialiste de la sécurité israélien Cybereason affirme qu’une de ses équipes a détecté en 2018 une attaque avancée persistante (APT) contre un opérateur télécoms global, afin d’obtenir des informations sur des cibles à forte valeur, et qui ont entraîné la prise de contrôle du réseau.

Une fois l’attaque détectée, Cybereason aurait aidé l’opérateur télécoms à se battre contre quatre vagues d’attaques en six mois.

L’APT, nommée Operation Soft Cell, serait active depuis au moins 2012.

Le but des pirates serait d’obtenir des CDR – Call Detail Records, un ensemble de métadonnées sur un appel téléphonique, tel que les numéros de l’appelé et de l’appelant, la date, l’heure et la durée de l’appel, types de téléphones, et même de et vers quelle tour cellulaire, ce qui donne une indication de la position géographique de la cible.

Les outils et les méthodes des pirates rappellent celles de APT10, un groupe de pirates chinois. Pour Cybereason, on peut affirmer avec un haut niveau de certitude qu’il s’agit d’un groupe soutenu par le gouvernement chinois, travaillant sans doute pour le Ministère chinois de la sécurité d’État.

Les cibles étaient des individus spécifiques de plusieurs pays.

Les pirates se sont d’abord attaqués à des sites web ouverts sur internet, afin d’obtenir des informations sur le réseau et des identifiants, puis s’y propager. Les pirates ont ensuite essayé de s’attaquer aux atouts critiques, comme les serveurs de base de données, les serveurs de facturation, et le répertoire actif. Une fois contrés, ils ont arrêté les attaques.

Un mode opératoire qui s’est globalement reproduit et affiné à chaque vague d’attaques.

Les pirates ont pu infiltrer le réseau, faire de la reconnaissance, lancer des vols d’informations d’authentification, créer des comptes avec haut niveau de privilège pour des attaques ultérieures, comprimer les données volées et les exfiltrer.

Le motif de ces attaques était d’espionner et de localiser des cibles à haute valeur : politiciens, espions, candidats d’opposition, etc.