operation-soft-cell

# Operation Soft Cell > [!danger] Espionagem de longo prazo em operadoras de telecomúnicações globais > A Operation Soft Cell é uma campanha de espionagem cibernética atribuída ao grupo chinês **GALLIUM**, ativa desde 2012 e revelada pela Cybereason em junho de 2019. O grupo comprometeu pelo menos 10 operadoras de telecomúnicações em múltiplos continentes, exfiltrando mais de **100 GB de dados CDR** (Call Detail Records) afetando potencialmente **200 milhões de pessoas**. ## Visão Geral A Operation Soft Cell é uma das campanhas de espionagem mais persistentes e de maior alcance documentadas contra o setor de telecomúnicações global. Atribuída ao grupo [[g0093-gallium|GALLIUM]] - ligado ao Ministério de Segurança do Estado (MSS) da China - a campanha priorizou o roubo de Call Detail Records (CDRs): metadados de comúnicações que revelam quem ligou para quem, quando, por quanto tempo e de onde. Revelada pela Cybereason em junho de 2019, a investigação identificou comprometimentos em operadoras de telecomúnicações no Oriente Médio, Sudeste Asiático, Europa, África e Ásia Central. Em um único caso investigado, foram exfiltrados mais de 100 GB de dados CDR de um único servidor, potencialmente comprometendo dados de comunicação de 200 milhões de pessoas em múltiplos países. O objetivo primário era a vigilância direcionada: os atacantes não apenas coletavam CDRs em massa, mas realizavam buscas ativas por números telefônicos específicos de alvos de interesse de inteligência - diplomatas, militares, funcionários governamentais e dissidentes. A capacidade de correlacionar comúnicações telefônicas de qualquer assinante de operadoras comprometidas confere ao MSS da China uma ferramenta de vigilância de escala extraordinária. Em 2023, pesquisadores documentaram uma extensão da campanha: o grupo GALLIUM passou a atacar servidores Microsoft Exchange de empresas no Oriente Médio usando uma variante avançada do Mimikatz chamada mim221, além de malware MGBOT, demonstrando que a campanha continua ativa e evoluindo mais de uma década após seu início. ## Attack Flow ```mermaid graph TB A["🎯 Exploração de servidores voltados à Internet IIS, Apache, servidores de email"] --> B["Web shell China Chopper Backdoor persistente em servidor comprometido"] B --> C["Reconhecimento interno Enumeração AD, mapeamento de arquitetura da operadora"] C --> D["Dump de credenciais Mimikatz para extrair hashes e credenciais de admin de domínio"] D --> E["Movimentação lateral PoisonIvy e PlugX para acesso a sistemas CDR"] E --> F["Exfiltração de CDRs 100GB+ de metadados de comúnicações"] F --> G["Buscas ativas em CDRs Filtragem por números de interesse de inteligência"] G --> H["Exfiltração via HTran Tunelamento TCP para ofuscar destino C2"] ``` ## Infraestrutura de Ataque ```mermaid graph TB subgraph Ferramentas["Arsenal Técnico GALLIUM"] T1["China Chopper Web shell compacto 1 linha de código"] T2["PoisonIvy RAT clássico chinês Keylogging + C2"] T3["PlugX RAT modular Usado em múltiplos APTs"] T4["Mimikatz / mim221 Dump de credenciais Variante avançada (2023)"] T5["HTran Proxy TCP Ofuscação de origem"] end subgraph Alvos["Dados Alvo"] D1["CDR - Call Detail Records Metadados de comúnicações 200M+ pessoas"] D2["Credenciais de admin Acesso a sistemas críticos da operadora"] D3["Dados de clientes VIP Diplomatas, militares funcionários governamentais"] end T1 --> D2 T4 --> D2 T2 --> D1 T3 --> D3 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Exploração de servidores web IIS e servidores de email expostos - [[t1505-server-software-component|T1505 - Server Software Component]] - Implantação de web shells China Chopper para acesso persistente - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - Dump de credenciais via Mimikatz e variante mim221 - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - Exfiltração de CDRs via canal C2 encriptado - [[t1090-proxy|T1090 - Proxy]] - HTran para tunelamento TCP e ofuscação de infraestrutura - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS para evasão de detecção - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Uso de credenciais roubadas para acesso legítimo a sistemas críticos - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - Enumeração de serviços internos da operadora ## Software Utilizado - [[s0020-china-chopper]] - Web shell minimalista para acesso persistente a servidores comprometidos - [[s0012-poisonivy]] - RAT clássico com capacidades de keylogging e espionagem - [[s0013-plugx]] - RAT modular de uso comum entre APTs chineses - [[mimikatz]] - Ferramenta de dump de credenciais; variante mim221 usada em 2023 - [[s0040-htran]] - Proxy TCP para tunelamento e ofuscação de tráfego C2 ## Impacto A Operation Soft Cell causou impacto excepcional pela combinação de profundidade técnica e escala de dados exfiltrados: - **100+ GB** de CDRs exfiltrados de uma única operadora comprometida - **200 milhões** de pessoas potencialmente afetadas em termos de privacidade de comúnicações - Acesso a metadados de comunicação de diplomatas, militares e funcionários governamentais - Comprometimento de pelo menos 10 operadoras em múltiplos continentes - Capacidade de vigilância de comúnicações de nível estatal em países sem acordo de inteligência com a China - A campanha continua ativa em 2023-2024 com expansão para servidores Exchange ## Relevância LATAM/Brasil O setor de [[telecommunications|telecomúnicações]] brasileiro apresenta risco particular dado o contexto desta campanha: - Operadoras brasileiras de grande porte (Claro, Vivo, TIM, Oi) são alvos potenciais para operações de vigilância similares - A China é parceiro comercial e tecnológico significativo do Brasil - empresas como Huawei têm presença ampla em infraestrutura de telecomúnicações brasileira - CDRs de operadoras brasileiras incluiriam dados de comunicação de autoridades governamentais e militares de alto interesse - O Brasil abriga sedes regionais de empresas multinacionais - dados de comunicação de executivos teriam valor de inteligência econômica - Regulação LGPD exige notificação de incidentes envolvendo dados de comunicação - operadoras devem ter planos de resposta a este vetor ## Detecção e Defesa **Detecções recomendadas:** - Monitorar acesso anômalo a bases de dados CDR - especialmente consultas por números específicos ou downloads em massa - Detectar implantação de web shells em servidores IIS/Apache via integridade de arquivos (FIM) - Alertar sobre execução de Mimikatz ou acesso ao processo LSASS fora de jánelas de manutenção - Monitorar conexões HTran: tunelamento TCP incomum em portas não-padrão - SIEM: correlacionar logins admin de múltiplos IPs em curto intervalo (credential stuffing) **Mitigações:** - Aplicar patches imediatamente em servidores web e de email expostos à Internet - Segmentação rigorosa entre sistemas CDR e demais sistemas de TI - MFA obrigatório para acesso a sistemas de billing e CDR - WAF (Web Application Firewall) com regras específicas para web shells - Auditoria regular de integridade de arquivos em servidores web **Mitigações MITRE:** [[m1016-vulnerability-scanning|M1016]] · [[m1018-user-account-management|M1018]] · [[m1030-network-segmentation|M1030]] ## Referências - [1](https://www.cybereason.com/blog/operation-soft-cell-a-worldwide-campaign-against-telecommunications-providers) Cybereason - Operation Soft Cell: Worldwide Campaign Against Telecoms (2019) - [2](https://attack.mitre.org/groups/G0093/) MITRE ATT&CK - GALLIUM G0093 (2023) - [3](https://www.microsoft.com/security/blog/2019/12/12/gallium-targeting-global-telecom/) Microsoft Security - GALLIUM Targeting Global Telecom (2019) - [4](https://www.cybereason.com/blog/operation-soft-cell-revisited-a-multi-year-campaign-targeting-telecom-providers-in-the-middle-east) Cybereason - Operation Soft Cell Revisited: Middle East (2023) - [5](https://www.ncsc.gov.uk/guidance/protecting-telecoms-from-chinese-state-sponsored-threats) NCSC UK - Protecting Telecoms from Chinese State Threats (2022)