Cyberaanvallen: hoe u uw industriële controlesystemen kunt beschermen tegen hackers Nu bekijken
Een heimelijke hackgroep infiltreert telecommunicatiebedrijven over de hele wereld in een campagne die onderzoekers hebben gekoppeld aan het verzamelen van inlichtingen en cyberspionage.
De campagne, die in ieder geval al sinds 2016 actief is, is uitgewerkt door cybersecurity-onderzoekers van CrowdStrike, die de activiteit hebben toegeschreven aan een groep die ze LightBasin noemen, ook wel bekend als UNC1945.
Er wordt aangenomen dat de aanvallende hackgroep sinds 2019 ten minste 13 telecommunicatiebedrijven heeft gecompromitteerd met als doel specifieke informatie over de mobiele communicatie-infrastructuur te stelen, inclusief abonnee-informatie en metadata van oproepen – en in sommige gevallen directe informatie over welke gegevens smartphonegebruikers verzenden en ontvangen via hun apparaat.
“De aard van de gegevens waarop de LightBasin zich richt, komt overeen met informatie die waarschijnlijk van groot belang is voor organisaties voor inlichtingendiensten. Hun belangrijkste motieven zijn waarschijnlijk een combinatie van surveillance, inlichtingen en het verzamelen van contra-inlichtingen”, vertelde Adam Meyers, SVP van Intelligence bij CrowdStrike. ZDNet.
“Er is aanzienlijke intelligentiewaarde voor elke door de staat gesponsorde tegenstander die waarschijnlijk binnen telecommunicatiebedrijven zit”, voegde hij eraan toe.
De exacte oorsprong van LightBasin is niet bekendgemaakt, maar onderzoekers suggereren dat de auteur van tools die bij aanvallen worden gebruikt kennis heeft van de Chinese taal – hoewel ze niet zo ver gaan om een directe link met China of andere Chineessprekende landen te suggereren .
De aanvallers passen uitgebreide operationele veiligheidsmaatregelen toe om detectie te voorkomen en zullen alleen Windows-systemen op doelnetwerken compromitteren als dit absoluut noodzakelijk is. De primaire focus van LightBasin ligt op Linux- en Solaris-servers die essentieel zijn voor het uitvoeren van de telecommunicatie-infrastructuur – en die waarschijnlijk minder beveiligingsmaatregelen zullen hebben dan Windows-systemen.
ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport ZDNet)
De eerste toegang tot netwerken wordt verkregen via externe DNS-servers (eDNS), die deel uitmaken van de General Packet Radio Servicenetwerk (GPRS) dat verschillende telefoonoperators met elkaar verbindt. Onderzoekers ontdekten dat LightBasin toegang had tot één slachtoffer van een eerder gecompromitteerd slachtoffer. Het is waarschijnlijk dat de eerste toegang tot de oorspronkelijke slachtoffers wordt verkregen door zwakke wachtwoorden te misbruiken via brute force-aanvallen.
Eenmaal binnen het netwerk en terugbellend naar een command and control-server die door de aanvallers wordt beheerd, kan LightBasin TinyShell laten vallen, een open-source Unix-achterdeur die door veel cybercriminelen wordt gebruikt. Door dit te combineren met emulatiesoftware kan de aanvaller verkeer van het telecommunicatienetwerk tunnelen.
Andere tools die in campagnes worden gebruikt, zijn onder meer CordScan, een netwerkscanner waarmee gegevens kunnen worden opgehaald bij het omgaan met communicatieprotocollen.
LightBasin heeft de mogelijkheid om dit te doen met veel verschillende telecommunicatie-architecturen, wat aangeeft wat onderzoekers beschrijven als “robuuste onderzoeks- en ontwikkelingsmogelijkheden om leverancierspecifieke infrastructuur te targeten die vaak wordt gezien in telecommunicatie-omgevingen” en iets “consistent met een signaalintelligentieorganisatie” – of in andere woorden, een spionagecampagne.
Ondanks hun inspanningen om verborgen te blijven, zijn er enkele elementen van de campagnes waardoor ze kunnen worden ontdekt en geïdentificeerd, zoals het niet versleutelen van binaire bestanden tijdens het gebruik van SteelCorgi, een bekende ATP-spionagetool. Er zijn ook aanwijzingen dat dezelfde tools en technieken worden gebruikt in de netwerken van gecompromitteerde telecommunicatieproviders, wat wijst op een enkele entiteit achter de hele campagne.
Er wordt aangenomen dat LightBasin zich nog steeds actief richt op telecommunicatieproviders over de hele wereld.
“Gezien het gebruik van op maat gemaakte tools en diepgaande kennis van telecommunicatienetwerkarchitecturen door LightBasin, hebben we genoeg gezien om te beseffen dat de dreiging die LightBasin vormt niet gelokaliseerd is en van invloed kan zijn op organisaties buiten degene waarmee we werken”, aldus Meyers.
“De potentiële winst voor deze bedreigingsactoren in termen van het verzamelen van inlichtingen en bewaking is gewoon te groot voor hen om weg te lopen”, voegde hij eraan toe.
Om netwerken te beschermen tegen deze en andere cyberaanvallen, wordt aanbevolen dat telecommunicatiebedrijven ervoor zorgen dat de firewalls die verantwoordelijk zijn voor het GPRS-netwerk regels hebben die inhouden dat netwerken alleen toegankelijk zijn via verwachte protocollen.
“Het beveiligen van een telecommunicatieorganisatie is geenszins een eenvoudige taak, vooral niet met de partnerzware aard van dergelijke netwerken en de focus op systemen met hoge beschikbaarheid; echter, met het duidelijke bewijs van een zeer geavanceerde tegenstander die misbruik maakt van deze systemen en het vertrouwen tussen verschillende organisaties, is het van het grootste belang om de beveiliging van deze netwerken te verbeteren”, aldus de CrowdStrike-blogpost.
MEER OVER CYBERVEILIGHEID
Ransomware-aanvallers hadden zich op dit bedrijf gericht. Toen ontdekten verdedigers iets merkwaardigsHackers richten zich op telecombedrijven om 5G-geheimen te stelenLeer cyberbeveiligingsvaardigheden met deze 5 online cursussenHackers krijgen meer hands-on met hun aanvallen. Dat is geen goed tekenNationale cyberaanvallen gericht op bedrijven nemen toe
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 