10月20日,网络安全公司赛门铁克刚披露了一个针对南亚电信公司的神秘APT(高级持续威胁)组织,一个名为 LightBasin 的黑客组织被确定为针对电信行业发起一系列攻击的幕后黑手,其目标是从移动通信基础设施中收集“高度特定信息”,例如用户信息和呼叫元数据。
网络安全公司 CrowdStrike 研究人员发表分析报告称: LightBasin 又名UNC1945,这一组织从2016年起开始活跃,据统计自2019年以来, LightBasin 利用自定义工具通过电信协议中的防御漏洞攻击了全球13家电信公司。
CrowdStrike 调查发现,攻击者利用外部DNS (eDNS) 服务器通过 SSH 和先前建立的后门(如 PingPong)直接连接到其他电信公司的 GPRS 网络,在密码喷射攻击的帮助下安装恶意软件,以窃取其他网络系统的密码。
攻击者能够模拟GPRS网络接入点,以便与先前建立的后门一起执行命令通过电信网络传输流量控制通信。
LightBasin 恶意软件库中有一个名为“CordScan”的网络扫描和数据包捕获实用程序,它能允许运营商对移动设备进行指纹识别及“SIGTRANslator“(一种可以通过卫星定位系统协议套件传输和数据接收的ELF二进制文件,用来通过IP网络承载公共交换电话网信令)。
CrowdStrike 指出,攻击者正是借助电信公司之间的漫游协议需要服务器相互通信这点,打通了组织间流量后能在多家电信公司之间进行切换。为避免类似攻击,CrowdStrike 建议电信公司制定 GPRS 网络防火墙规则,在 DNS 或 GTP等先前协议上限制网络流量。
参考来源:https://thehackernews.com/2021/10/lightbasin-hackers-breach-at-least-13.html
