Высокотехнологичная хакерская группа под названием «LightBasin» провела ряд атак на телекоммуникационную отрасль с целью сбора «очень специфической информации» из инфраструктуры мобильной связи, такой как информация об абонентах и метаданные звонков.
«Характер данных, на которые нацелились злоумышленники, соответствует информации, которая может представлять значительный интерес для организаций по разведке» - заявили исследователи из компании по кибербезопасности CrowdStrike в опубликованном во вторник в отчете.
Известно, что группа LightBasin (она же UNC1945) действовала еще в 2016 году, и считается, что с 2019 года хакерами было взломано 13 телекоммуникационных компаний по всему миру с использованием кастомных инструментов и обширных знаний телекоммуникационных протоколов для преодоления защиты организаций. Данные по конкретным компаниям-жертвам не раскрываются, как и то, связана ли группировка с конкретной страной.
В ходе недавнего инцидента, расследованного CrowdStrike, было установлено, что злоумышленники воспользовались внешними DNS-серверами (eDNS) для прямого подключения к GPRS-сетям других взломанных телекоммуникационных компаний через SSH и с помощью ранее установленных бэкдоров, таких как PingPong. Первоначальная компрометация обеспечивается с помощью атак на перебор паролей, что впоследствии приводит к установке вредоносного ПО SLAPSTICK для кражи паролей и переключения на другие системы в сети.
Другие основанные на данных телеметрии признаки свидетельствуют о способности хакеров эмулировать точки доступа к сети GPRS для осуществления командно-контрольной связи в сочетании с бэкдором TinyShell на базе Unix, что позволяет злоумышленникам туннелировать трафик через телекоммуникационную сеть.
Среди многочисленных инструментов в арсенале вредоносного ПО LightBasin есть утилита для сканирования сети и захвата пакетов под названием «CordScan», которая позволяет операторам снимать образы с мобильных устройств, а также "SIGTRANslator", двоичный файл ELF, который может передавать и принимать данные через набор протоколов SIGTRAN, используемый для передачи сигналов телефонной сети общего пользования (PSTN) через IP-сети.
«Неудивительно, что серверы должны взаимодействовать друг с другом в рамках соглашений о роуминге между телекоммуникационными компаниями; однако способность LightBasin перемещаться между несколькими телекоммуникационными компаниями обусловлена разрешением всего трафика между этими организациями без определения протоколов, которые действительно необходимы» - отметили в CrowdStrike.
«Таким образом, ключевой рекомендацией для любой телекоммуникационной компании является обеспечение того, чтобы брандмауэры, отвечающие за сеть GPRS, имели правила, ограничивающие сетевой трафик только теми протоколами, которые ожидаются, например, DNS или GTP» - добавили в компании.
Выводы CrowdStrike были опубюликованы на фоне раскрытия компанией Symantec подробностей о ранее незамеченной хакерской группе под названием «Harvester», которая с июня 2021 года участвует в кампании по краже информации, направленной на телекоммуникационный, правительственный и информационно-технологический сектора в Южной Азии, используя кастомный вредонос под названием «Graphon».
Источник: https://is-systems.org