LightBasin Hackers violam pelo menos 13 provedores de serviços de telecomunicações desde 2019
Um adversário altamente sofisticado chamado LightBasin foi identificado como responsável por uma série de ataques direcionados ao setor de telecomunicações com o objetivo de coletar “informações altamente específicas” da infraestrutura de comunicação móvel, como informações de assinantes e metadados de chamadas.
“A natureza dos dados direcionados pelo ator se alinha com as informações provavelmente de interesse significativo para as organizações de inteligência de sinais”, pesquisadores da empresa de segurança cibernética CrowdStrike informaram em uma análise publicada na terça-feira.
Conhecido por estar ativo desde 2016, acredita-se que o LightBasin (também conhecido como UNC1945) tenha comprometido 13 empresas de telecomunicações em todo o mundo desde 2019, aproveitando ferramentas personalizadas e seu amplo conhecimento de protocolos de telecomunicações para ceifar através das defesas das organizações. As identidades das entidades visadas não foram divulgadas, nem os resultados vinculam a atividade do cluster a um país específico.
De fato, um incidente recente investigado pela CrowdStrike encontrou o ator de intrusão alvo tirando proveito de servidores DNS externos (eDNS) para se conectar diretamente para redes GPRS de outras empresas de telecomunicações comprometidas via SSH e através de backdoors previamente estabelecidos, como PingPong. O comprometimento inicial é facilitado com a ajuda de ataques de espalhamento de senha, consequentemente levando à instalação do malware SLAPSTICK para roubar senhas e bisbilhotar outros sistemas na rede.
Outras indicações baseadas em dados de telemetria mostram a capacidade do ator de intrusão alvo de emular pontos de acesso de rede GPRS para realizar comunicações de comando e controle em conjunto com um backdoor baseado em Unix chamado TinyShell, permitindo assim que o invasor encapsule o tráfego através da rede de telecomunicações .
Entre as várias ferramentas do arsenal de malware da LightBasin está um utilitário de varredura de rede e captura de pacotes chamado “CordScan”, que permite às operadoras fazer impressões digitais de dispositivos móveis, bem como “SIGTRANslator”, um binário ELF que pode transmitir e receber dados através do SIGTRAN pacote de protocolos que é usado para transportar sinalização de rede telefônica pública comutada (PSTN) em redes IP.
“Não é surpreendente que os servidores precisem se comunicar uns com os outros como parte de acordos de roaming entre empresas de telecomunicações; no entanto a capacidade da LightBasin de girar entre várias empresas de telecomunicações resulta de permitir todo o tráfego entre essas organizações sem identificar os protocolos que são realmente necessários, conforme nota da CrowdStrike”.
“Como tal, a principal recomendação aqui é que qualquer empresa de telecomunicações garanta que os firewalls responsáveis pela rede GPRS tenham regras para restringir o tráfego de rede apenas aos protocolos esperados, como DNS ou GTP”, acrescentou a empresa.
As descobertas também vêm no momento em que a empresa de segurança cibernética Symantec divulgou detalhes de um grupo de ameaças persistentes avançadas (APT) nunca antes visto, apelidado de ” Harvester “, que foi vinculado a uma campanha de roubo de informações destinada aos setores de telecomunicações, governo e tecnologia da informação no Sul da Ásia desde junho de 2021 usando um implante personalizado chamado “Graphon”.
Este artigo é uma tradução de: https://thehackernews.com/2021/10/lightbasin-hackers-breach-at-least-13.html