101月20日,网络安全公司赛门铁克刚披露了南亚电信公司的神秘APT(高级持续威胁)组织,一个名为 LightBasin 黑客组织被确定为对电信行业发起一系列攻击的幕后黑手,其目标是从移动通信基础设施中收集“高度特定信息”,例如,用户信息和呼叫元数据。
网络安全公司CrowdStrike 研究人员发表分析报告称: LightBasin 又名UNC1945,据统计,自2016年以来,该组织一直活跃起来。LightBasin 通过电信协议中的防御漏洞,利用自定义工具攻击全球13家电信公司。
CrowdStrike 调查发现攻击者使用外部DNS (eDNS) 服务器通过 SSH 和以前建立的后门(如 PingPong) 直接连接到其他电信公司GPRS 网络在密码喷射攻击的帮助下安装恶意软件,窃取其他网络系统的密码。
攻击者可以模拟GPRS网络接入点,通过电信网络传输流量控制通信,与之前建立的后门一起执行命令。
LightBasin 恶意软件库中有一个叫做“CordScan”实用的网络扫描和数据包捕获程序允许运营商识别移动设备的指纹“SIGTRANslator“(一种可以通过卫星定位系统协议套件传输和接收数据ELF二进制文件用于通过IP网络承载公共交换电话网信令)。
CrowdStrike 指出,在电信公司之间的漫游协议的帮助下,攻击者需要服务器进行相互通信,并在多家电信公司之间切换组织之间的流量。为了避免类似的攻击,CrowdStrike 建议电信公司制定 GPRS 网络防火墙规则, DNS 或 GTP在之前的协议中限制网络流量。
参考来源:https://thehackernews.com/2021/10/lightbasin-hackers-breach-at-least-13.html