Cyberangrep: Slik beskytter du dine industrielle kontrollsystemer mot hackere Se nå
En skjult hackergruppe infiltrerer teleselskaper rundt om i verden i en kampanje som forskere har knyttet til etterretningssamling og cyberspionasje.
Kampanjen, som har vært aktiv siden minst 2016, er blitt detaljert av cybersikkerhetsforskere ved CrowdStrike, som har tilskrevet aktiviteten til en gruppe de kaller LightBasin – også kjent som UNC1945.
Det antas at siden 2019 har den offensive hackergruppen kompromittert minst 13 telekommunikasjonsselskaper med sikte på å stjele spesifikk informasjon om mobilkommunikasjonsinfrastruktur, inkludert abonnentinformasjon og samtalemetadata – og i noen tilfeller direkte informasjon om hvilke data smarttelefonbrukere sender og mottar via enheten.
“Arten til dataene som LightBasin målretter mot, stemmer overens med informasjon som sannsynligvis vil være av betydelig interesse for signaletterretningsorganisasjoner. Hovedmotivene deres er sannsynligvis en kombinasjon av overvåking, etterretning og innsamling av kontraetterretning,” sa Adam Meyers, SVP for etterretning ved CrowdStrike ZDNet.
“Det er betydelig etterretningsverdi for enhver statsstøttet motstander som sannsynligvis finnes i teleselskaper,” la han til.
Den eksakte opprinnelsen til LightBasin er ikke avslørt, men forskere antyder at forfatteren av verktøyene som brukes i angrep har kunnskap om det kinesiske språket-selv om de ikke går så langt for å foreslå en direkte forbindelse med Kina eller andre kinesisktalende land .
Angriperne bruker omfattende operasjonelle sikkerhetstiltak i et forsøk på å unngå oppdagelse og vil kun kompromittere Windows-systemer på målnettverk hvis det er absolutt nødvendig. LightBasins hovedfokus er på Linux- og Solaris -servere som er kritiske for drift av telekommunikasjonsinfrastruktur – og som sannsynligvis vil ha mindre sikkerhetstiltak enn Windows -systemer.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Innledende tilgang til nettverk oppnås via eksterne DNS-servere (eDNS), som er en del av General Packet Radio Service (GPRS) nettverk som kobler forskjellige telefonoperatører. Forskere oppdaget at LightBasin fikk tilgang til ett offer fra et tidligere utsatt offer. Det er sannsynlig at første tilgang til originale ofre oppnås ved å utnytte svake passord ved bruk av brute force -angrep.
Når han er inne i nettverket og ringer tilbake til en kommando- og kontrollserver som drives av angriperne, kan LightBasin slippe TinyShell, en åpen kildekode Unix-bakdør som brukes av mange cyberkriminelle grupper. Ved å kombinere dette med emuleringsprogramvare kan angriperen tunnelere trafikk fra telekommunikasjonsnettet.
Andre verktøy som brukes i kampanjer inkluderer CordScan, en nettverksskanner som gjør det mulig å hente data når du arbeider med kommunikasjonsprotokoller.
LightBasin har muligheten til å gjøre dette med mange forskjellige telekommunikasjonsarkitekturer, noe som indikerer hva forskere beskriver som “robuste forsknings- og utviklingsevner for å målrette mot leverandørspesifikk infrastruktur som vanligvis sees i telekommunikasjonsmiljøer” og noe “konsistent med en signalintelligensorganisasjon” – eller i andre ord, en spionasje -kampanje.
Til tross for deres beste anstrengelser for å forbli skjult, er det noen elementer i kampanjene som betyr at de kan oppdages og identifiseres, for eksempel å ikke kryptere binærfiler mens du bruker SteelCorgi, et kjent ATP-spionasjeverktøy. Det er også bevis på at de samme verktøyene og teknikkene brukes i nettverkene til kompromitterte telekommunikasjonsleverandører, og peker mot en unik enhet bak hele kampanjen.
Det antas at LightBasin fortsatt er aktivt rettet mot telekommunikasjonsleverandører rundt om i verden.
“Gitt LightBasins bruk av skreddersydde verktøy og inngående kunnskap om telekommunikasjonsnettverksarkitekturer, har vi sett nok til å innse trusselen LightBasin utgjør ikke er lokalisert og kan påvirke organisasjoner utenfor de vi jobber med,” sa Meyers.
“Den potensielle gevinsten til disse trusselaktørene når det gjelder innsamling og overvåking av etterretning er bare for stor til at de kan gå bort fra,” la han til.
For å beskytte nettverk mot dette og andre cyberangrep, anbefales det at teleselskaper sørger for at brannmurene som er ansvarlige for GPRS -nettverket, har regler som betyr at nettverk bare kan nås via forventede protokoller.
“Å sikre en telekommunikasjonsorganisasjon er på ingen måte en enkel oppgave, spesielt med slike tunge partnerskap og fokus på systemer med høy tilgjengelighet, men med klare bevis på en svært sofistikert motstander som misbruker disse systemene og tilliten mellom forskjellige organisasjoner, og fokus på å forbedre sikkerheten til disse nettverkene er av største betydning, “sa CrowdStrike -blogginnlegget.
MER OM CYBERSIKKERHET
Ransomware -angriper målrettet mot dette selskapet. Da oppdaget forsvarerne noe nysgjerrig Hackere er rettet mot teleselskaper for å stjele 5G-hemmeligheter Lær cybersikkerhetskunnskaper med disse 5 online-kursene Hackere får mer hands-on med sine angrep. Det er ikke et godt tegnNasjonsstatlige cyberangrep rettet mot bedrifter er på vei opp
Relaterte emner:
Security TV Data Management CXO Data Centers 