Cyberattacker: Hur du skyddar dina industriella kontrollsystem från hackare Se nu
En smygande hackergrupp infiltrerar telekommunikationsföretag runt om i världen i en kampanj som forskare har kopplat till underrättelseinsamling och cyberspionage.
Kampanjen, som har varit aktiv sedan åtminstone 2016, har detaljerats av cybersäkerhetsforskare på CrowdStrike, som har tillskrivit aktiviteten till en grupp som de kallar LightBasin – även känd som UNC1945.
Man tror att den offensiva hackinggruppen sedan 2019 har äventyrat minst 13 telekommunikationsföretag i syfte att stjäla specifik information om mobil kommunikationsinfrastruktur, inklusive abonnentinformation och samtalsmetadata – och i vissa fall direkt information om vilken data smarttelefonanvändare skickar och tar emot via sin enhet.
“Typen av data som LightBasin riktar sig mot överensstämmer med information som sannolikt kommer att vara av stort intresse för signaler underrättelseorganisationer. Deras nyckelmotiv är sannolikt en kombination av övervakning, underrättelse och insamling av motintelligens”, säger Adam Meyers, SVP of Intelligence på CrowdStrike. ZDNet.
“Det finns ett betydande intelligensvärde för alla statligt sponsrade motståndare som sannolikt finns inom telekommunikationsföretag”, tillade han.
Det exakta ursprunget till LightBasin avslöjas inte, men forskare föreslår att författaren till verktyg som används i attacker har kunskap om det kinesiska språket-även om de inte går så långt för att föreslå en direkt koppling till Kina eller andra kinesisktalande länder .
Angriparna använder omfattande operativa säkerhetsåtgärder för att undvika upptäckt och kommer bara att kompromissa med Windows -system på målnätverk om det är absolut nödvändigt. LightBasins huvudfokus ligger på Linux- och Solaris -servrar som är avgörande för drift av telekommunikationsinfrastruktur – och som sannolikt kommer att ha mindre säkerhetsåtgärder än Windows -system.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Initial åtkomst till nätverk erhålls via externa DNS (eDNS) -servrar, som är en del av General Packet Radio Service (GPRS) nätverk som ansluter olika telefonoperatörer. Forskare upptäckte att LightBasin fick tillgång till ett offer från ett tidigare utsatt offer. Det är troligt att initial tillgång till originaloffren uppnås genom att utnyttja svaga lösenord genom användning av brutala våldsattacker.
Väl inne i nätverket och ringer tillbaka till en kommando- och kontrollserver som drivs av angriparna, kan LightBasin släppa TinyShell, en open-source Unix-bakdörr som används av många cyberkriminella grupper. Genom att kombinera detta med emuleringsprogram kan angriparen tunnelera trafik från telekommunikationsnätet.
Andra verktyg som används i kampanjer inkluderar CordScan, en nätverksskanner som gör det möjligt att hämta data när det gäller kommunikationsprotokoll.
LightBasin har möjlighet att göra detta med många olika telekommunikationsarkitekturer, vilket indikerar vad forskare beskriver som “robust forsknings- och utvecklingsmöjligheter för att rikta sig till leverantörsspecifik infrastruktur som vanligtvis ses i telekommunikationsmiljöer” och något “förenligt med en signalunderrättelseorganisation” – eller i andra ord, en spionerikampanj.
Men trots deras bästa ansträngningar för att förbli dolda, finns det vissa delar av kampanjerna som innebär att de kan upptäckas och identifieras, som att inte kryptera binärer när du använder SteelCorgi, ett känt ATP-spionageverktyg. Det finns också bevis på att samma verktyg och tekniker används i nätverk av komprometterade telekommunikationsleverantörer, vilket pekar mot en unik enhet bakom hela kampanjen.
Man tror att LightBasin fortfarande aktivt riktar sig till telekomleverantörer runt om i världen.
“Med tanke på LightBasins användning av skräddarsydda verktyg och djupgående kunskaper om telekommunikationsnätverksarkitekturer, har vi sett tillräckligt för att inse att hotet LightBasin utgör inte är lokaliserat och kan påverka organisationer utanför de vi arbetar med”, säger Meyers.
“Den potentiella vinsten för dessa hotaktörer när det gäller insamling av underrättelser och övervakning är alldeles för stor för att de ska kunna gå ifrån”, tillade han.
För att skydda nätverk mot detta och andra cyberattacker rekommenderas att telekommunikationsföretag säkerställer att de brandväggar som ansvarar för GPRS -nätverket har regler som innebär att nätverk endast kan nås via förväntade protokoll.
“Att säkra en telekommunikationsorganisation är ingalunda en enkel uppgift, speciellt med sådana nätverk som partnertunga och fokus på system med hög tillgänglighet; dock med tydliga bevis på en mycket sofistikerad motståndare som missbrukar dessa system och förtroendet mellan olika organisationer, med fokus på att förbättra säkerheten för dessa nätverk är av yttersta vikt “, säger CrowdStrike -blogginlägget.
MER OM CYBERSÄKERHET
Ransomware -angripare riktade sig mot detta företag. Då upptäckte försvarare något nyfiket Hackare riktar sig till telekomföretag för att stjäla 5G-hemligheter Lär dig cybersäkerhetskunskaper med dessa 5 onlinekurser Hackare blir mer praktiska med sina attacker. Det är inget bra tecken Nationstatens cyberattacker mot företag ökar
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 