Ezek a lopakodó hackerek elkerülik a Windows rendszert, de célba veszik a Linuxot, mivel telefonadatokat akarnak ellopni

Egy lopakodó hackercsoport beszivárog távközlési cégekbe szerte a világon egy olyan kampányban, amelyet a kutatók a hírszerzéssel és a kiberkémkedéssel hoznak összefüggésbe.

A legalább 2016 óta aktív kampány részletezték a CrowdStrike kiberbiztonsági kutatói, akik a tevékenységet egy LightBasin nevű csoportnak tulajdonították – más néven UNC1945.

Feltételezések szerint 2019 óta a támadó hackercsoport legalább 13 távközlési vállalatot kompromittált azzal a céllal, hogy mobilkommunikációval kapcsolatos információkat lopjanak el. infrastruktúra, beleértve az előfizetői információkat és a hívási metaadatokat – és bizonyos esetekben közvetlen információkat arról, hogy az okostelefonok felhasználói milyen adatokat küldenek és fogadnak eszközöket.

LÁT: Nyerő stratégia a kiberbiztonsághoz (ZDNet különjelentés) 

"A LightBasin által megcélzott adatok természete összhangban van azokkal az információkkal, amelyek valószínűleg jelentős érdeklődésre tarthatnak számot a jelzéssel foglalkozó titkosszolgálatok számára. Legfontosabb indítékaik valószínűleg a megfigyelés, a hírszerzés és a kémelhárítás kombinációja” – mondta Adam Meyers, a CrowdStrike hírszerzési alelnöke a ZDNetnek.

"Minden államilag támogatott ellenfélnek jelentős hírszerzési értéke van, amely valószínűleg a távközlési vállalatokon belül van" - tette hozzá.

A LightBasin pontos eredetét nem hozták nyilvánosságra, de a kutatók azt sugallják, hogy a támadásokhoz használt eszközök szerzője ismeri a kínai nyelv – bár nem mennek el odáig, hogy Kínával vagy bármely más kínai nyelvű országgal való közvetlen kapcsolatot sugalljanak.

A támadók kiterjedt működési biztonsági intézkedéseket alkalmaznak az észlelés elkerülése érdekében, és csak akkor fenyegetik a Windows rendszereket a célhálózatokon, ha feltétlenül szükséges. A LightBasin elsősorban a Linux és Solaris szerverekre összpontosít, amelyek kritikusak a futtatáshoz távközlési infrastruktúra – és valószínűleg kevesebb biztonsági intézkedést alkalmaznak, mint Windows rendszerek.

A hálózatokhoz való kezdeti hozzáférés külső DNS (eDNS) szervereken keresztül történik, amelyek a különböző telefonszolgáltatókat összekötő GPRS (General Packet Radio Service) hálózat részét képezik. A kutatók felfedezték, hogy a LightBasin hozzáfért egy áldozathoz egy korábban kompromittált áldozattól. Valószínű, hogy az eredeti áldozatokhoz való kezdeti hozzáférést gyenge jelszavak kihasználásával lehet elérni nyers erő támadások.

Miután bekerült a hálózatba, és visszahívja a támadók által futtatott parancs- és vezérlőkiszolgálót, a LightBasin képes eldobni a TinyShellt, egy nyílt forráskódú Unix hátsó ajtót. sok kiberbűnözői csoport használja. Ezt a technikát emulációs szoftverrel kombinálva a támadó képes a távközlési hálózatról érkező forgalom átvezetésére.

A kampányokban alkalmazott egyéb eszközök közé tartozik a CordScan, egy hálózati szkenner, amely lehetővé teszi az adatok lekérését a kommunikációs protokollok kezelésekor.

A LightBasin számos különböző távközlési architektúrával képes elvégezni ezt a munkát, jelezve, hogy a kutatók milyen „erős kutatási és fejlesztési képességekkel rendelkeznek a telekommunikációs környezetekben gyakran előforduló szállító-specifikus infrastruktúra megcélzása" és valami „jelfelderítő szervezettel összhangban álló" – vagy más szóval kémkedés. kampány.

Mindazonáltal annak ellenére, hogy mindent megtesznek, hogy rejtve maradjanak, a kampányok egyes elemei azt jelentik, hogy azok felfedezhető és azonosítható, például nem titkosítható a bináris fájlok a SteelCorgi, egy ismert ATP-kémkedés használata közben eszköz. Bizonyítékok vannak arra is, hogy ugyanazokat az eszközöket és technikákat használják a kompromittált távközlési szolgáltatók hálózataiban, ami arra mutat, hogy az egész kampány mögött egy egyedi entitás áll.

LÁT: Ez az új zsarolóprogram titkosítja az Ön adatait, és csúnya fenyegetéseket is okoz

Úgy gondolják, hogy a LightBasin továbbra is aktívan megcélozza a távközlési szolgáltatókat szerte a világon.

„Tekintettel arra, hogy a LightBasin testre szabott eszközöket használ, és mélyreható ismeretekkel rendelkezik a távközlési hálózati architektúrákról, eleget láttunk hogy felismerjük a LightBasin által jelentett fenyegetést, amely nem lokalizált, és hatással lehet azokon kívüli szervezetekre is, amelyekkel együtt dolgozunk." Meyers.

"Ezeknek a fenyegető szereplőknek a potenciális megtérülése a hírszerzés és a megfigyelés terén túl nagy ahhoz, hogy elkerüljék őket" - tette hozzá.

A hálózatok ezzel és más kibertámadásokkal szembeni védelme érdekében javasoljuk, hogy a távközlési vállalatok gondoskodjanak erről a GPRS-hálózatokért felelős tűzfalakra olyan szabályok vonatkoznak, amelyek azt jelentik, hogy csak az elvárt módon érhetők el protokollok.

„Egy távközlési szervezet biztonságossá tétele korántsem egyszerű feladat, különösen, ha az ilyen hálózatok partnerek, és a magas rendelkezésre állású rendszerekre helyezik a hangsúlyt; mindazonáltal az egyértelmű bizonyíték arra, hogy egy rendkívül kifinomult ellenfél visszaél ezekkel a rendszerekkel és a bizalommal A különböző szervezetek közötti kapcsolatokban a legnagyobb hangsúlyt fektetjük e hálózatok biztonságának javítására fontossága", a CrowdStrike blogbejegyzés mondott.

BŐVEBBEN A KIBERBIZTONSÁGRÓL 

• Ransomware támadók ezt a céget vették célba. Aztán a védők felfedeztek valami érdekeset
• A hackerek telekommunikációs cégeket céloznak meg, hogy ellopják az 5G titkokat
• Tanuljon kiberbiztonsági készségeket ezen az 5 online tanfolyamon
• A hackerek egyre gyakorlatiasabbak támadásaikkal. Ez nem jó jel
• Egyre nőnek a vállalkozásokat célzó nemzetállami kibertámadások