En kinesisk hackergruppe beskyldes for å ha angrepet Singtel i det som kan være en test på fremtidige cyberangrep mot kritisk infrastruktur i vestlige land.
Singtel oppdaget datainnbruddet etter å ha registrert mistenkelig datatrafikk i en sentral bakruter og funnet det de mente var avansert, mulig statlig støttet, skadelig programvare, ifølge en person med kjennskap til etterforskningen, skriver Japan Times.
Singapores største mobilselskap, Singapore Telecommunications (Singtel), ble i sommer angrepet av kinesiske statssponsede hackere som en del av en større kampanje rettet mot telekomselskaper og annen kritisk infrastruktur globalt, opplyser to personer med innsikt i saken.
Dette tidligere uoppdagede innbruddet ble avslørt i juni, og etterforskere mener at en hackergruppe kjent som Volt Typhoon sto bak, ifølge de to kildene, som ønsket å være anonyme på grunn av en fortrolig etterforskning.
Etterforskning
Etterforskningen viser at innbruddet mot Singtel, som har virksomhet over hele Sørøst-Asia og Australia, var en prøverunde for fremtidige angrep mot amerikanske telekomselskaper. Informasjon fra angrepet antyder at kinesiske angrep mot kritisk infrastruktur i utlandet, inkludert i USA, kan være i utvikling.
USA, Australia, Canada, Storbritannia og New Zealand – kjent som «Five Eyes» alliansen for etterretningsdeling – advarte tidligere i år om at Volt Typhoon har infiltrert IT-nettverk for å gi Kina muligheten til å gjennomføre ødeleggende kyberangrep i tilfelle militære konflikter med Vesten.
En talsmann for Singtel bekreftet at skadelig programvare ble oppdaget i selskapets nettverk i juni, og at saken ble rapportert til myndighetene. Det ble ikke tatt noen data, og det påvirket ikke Singtels tjenester, skrev talsmannen i en e-postuttalelse.
– Som alle andre store organisasjoner og leverandører av kritisk infrastruktur blir vi konstant utsatt for angrep, sa talsmannen, og presiserte:
– Nettverksmotstand er avgjørende for vår virksomhet, og vi benytter bransjens beste praksis og samarbeider med ledende sikkerhetspartnere for kontinuerlig overvåkning og håndtering av de truslene vi møter daglig. Vi vurderer også regelmessig og forbedrer våre kybersikkerhetskapasiteter for å beskytte våre kritiske verdier mot nye trusler.
Les også: Kinesiske hackere truer amerikansk infrastruktur, avslører FBI
Kinesiske myndigheter reagerte på beskyldningene og uttalte via talsmann Liu Pengyu ved ambassaden i Washington at Kina generelt sett er imot og bekjemper kyberangrep og nettspionasje.
Flere hendelser
Saken føyer seg inn i en rekke påståtte kinesiske kyberangrep mot amerikanske telekomselskaper. Etterforskere har knyttet noen av disse angrepene til en annen kinesisk gruppe kalt Salt Typhoon. Ifølge Wall Street Journal har Salt Typhoon angrepet amerikanske selskaper som AT&T og Verizon, og det antas at hackerne har fått tilgang til systemer brukt av myndighetene til rettsanmodede avlyttinger.
I Singtel-saken skal hackerne ha benyttet et verktøy kalt en «web shell» for å skaffe seg tilgang til nettverket ved å opptre som en legitim bruker, opplyser kilder.
Sikkerhetsforskere i Lumen Technologies skrev i august at de med moderat sikkerhet antar at Volt Typhoon brukte en web shell. En prøve av den skadelige programvaren ble først lastet opp til VirusTotal 7. juni av en ukjent person i Singapore, ifølge forskerne. Web shell-en ga hackerne mulighet til å samle inn og avlytte brukernavn og passord, noe som ga tilgang til kundens nettverk.
Dette angrepet har gjort vestlige tjenestepersoner bekymret for de mulige bakdørene som kinesiske hackere kan ha plassert i kritiske IT-systemer. Disse kan potensielt benyttes til spionasje eller for å forberede fremtidige konflikter.