Cyberangreb: Sådan beskytter du dine industrielle kontrolsystemer mod hackere Se nu
En snigende hackergruppe infiltrerer teleselskaber rundt om i verden i en kampagne, som forskere har knyttet til efterretningssamling og cyberspionage.
Kampagnen, som har været aktiv siden mindst 2016, er blevet detaljeret af cybersikkerhedsforskere på CrowdStrike, som har tilskrevet aktiviteten til en gruppe, de kalder LightBasin – også kendt som UNC1945.
Det menes, at den offensive hackergruppe siden 2019 har kompromitteret mindst 13 teleselskaber med det formål at stjæle specifik information om mobilkommunikationsinfrastruktur, herunder abonnentoplysninger og opkaldsmetadata – og i nogle tilfælde direkte information om, hvilke data smartphonebrugere sender. og modtager via deres enhed.
“Arten af de data, som LightBasin målretter mod, stemmer overens med oplysninger, der sandsynligvis vil være af væsentlig interesse for signalerer efterretningsorganisationer. Deres nøglemotiver er sandsynligvis en kombination af overvågning, efterretning og modintelligensindsamling,” siger Adam Meyers, SVP for intelligens hos CrowdStrike. ZDNet.
“Der er betydelig efterretningsværdi for enhver statsstøttet modstander, der sandsynligvis er indeholdt i teleselskaber,” tilføjede han.
Den nøjagtige oprindelse af LightBasin er ikke oplyst, men forskere antyder, at forfatteren af værktøjer, der bruges i angreb, har kendskab til det kinesiske sprog-selvom de ikke går så langt for at foreslå en direkte forbindelse med Kina eller andre kinesisktalende lande .
Angriberne anvender omfattende operationelle sikkerhedsforanstaltninger i et forsøg på at undgå opdagelse og vil kun kompromittere Windows-systemer på målnetværk, hvis det er absolut nødvendigt. LightBasins primære fokus er på Linux- og Solaris -servere, som er kritiske for at køre telekommunikationsinfrastruktur – og sandsynligvis vil have færre sikkerhedsforanstaltninger på plads end Windows -systemer.
SE: En vindende strategi for cybersikkerhed (ZDNet -specialrapport)
Første adgang til netværk opnås via eksterne DNS (eDNS) -servere, som er en del af General Packet Radio Service (GPRS) netværk, der forbinder forskellige telefonoperatører. Forskere opdagede, at LightBasin fik adgang til et offer fra et tidligere kompromitteret offer. Det er sandsynligt, at den første adgang til originale ofre opnås ved at udnytte svage adgangskoder ved at bruge brute force-angreb.
Når LightBasin er inde i netværket og ringer tilbage til en kommando- og kontrolserver, der drives af angriberne, er LightBasin i stand til at slippe TinyShell, en open source Unix-bagdør, der bruges af mange cyberkriminelle grupper. Ved at kombinere dette med emuleringssoftware er angriberen i stand til at tunnelere trafik fra telekommunikationsnetværket.
Andre værktøjer, der implementeres i kampagner, omfatter CordScan, en netværksscanner, der muliggør hentning af data, når det drejer sig om kommunikationsprotokoller.
LightBasin har evnen til at gøre dette med mange forskellige telekommunikationsarkitekturer, hvilket angiver, hvad forskere beskriver som “robuste forsknings- og udviklingsmuligheder til at målrette mod leverandørspecifik infrastruktur, der almindeligvis ses i telekommunikationsmiljøer” og noget “i overensstemmelse med en signal intelligence -organisation” – eller i andre ord, en spionagekampagne.
På trods af deres bedste bestræbelser på at forblive skjult, er der dog nogle elementer i kampagnerne, som betyder, at de kan opdages og identificeres, f.eks. Ikke at kryptere binære filer, mens de bruger SteelCorgi, et kendt ATP -spionageværktøj. Der er også tegn på, at de samme værktøjer og teknikker bruges i netværkene for kompromitterede teletjenesteudbydere, der peger mod en unik enhed bag hele kampagnen.
Det menes, at LightBasin stadig aktivt er målrettet mod telekommunikationsudbydere rundt om i verden.
“I betragtning af LightBasins brug af skræddersyede værktøjer og indgående kendskab til telekommunikationsnetværksarkitekturer har vi set nok til at indse den trussel, LightBasin udgør, ikke er lokaliseret og kan påvirke organisationer uden for dem, vi arbejder med,” sagde Meyers.
“Den potentielle gevinst for disse trusselsaktører med hensyn til indsamling af efterretning og overvågning er bare for stor til, at de kan gå væk fra,” tilføjede han.
For at beskytte netværk mod dette og andre cyberangreb anbefales det, at teleselskaber sikrer, at firewalls, der er ansvarlige for GPRS -netværket, har regler, der betyder, at netværk kun kan tilgås via forventede protokoller.
“At sikre en telekommunikationsorganisation er på ingen måde en simpel opgave, især med sådanne netværks partnertunge karakter og fokus på systemer med høj tilgængelighed; dog med det klare bevis for en meget sofistikeret modstander, der misbruger disse systemer og tilliden mellem Forskellige organisationer er det yderst vigtigt at fokusere på at forbedre sikkerheden i disse netværk,” står der i CrowdStrike-blogindlægget.
MERE OM CYBERSECURITY
Ransomware -angribere målrettede denne virksomhed. Derefter opdagede forsvarerne noget nysgerrigt Hackere målretter teleselskaber for at stjæle 5G-hemmeligheder Lær cybersikkerhedskompetencer med disse 5 onlinekurser Hackere får flere hands-on med deres angreb. Det er ikke et godt tegnNationalstats-cyberangreb rettet mod virksomheder er i stigning
Relaterede emner:
Security TV Data Management CXO-datacentre 