Хакерская группа LightBasin взломала 13 глобальных телекоммуникационных компаний за два года

28
Хакеры используют ошибку Microsoft MSHTML, чтобы украсть кредиты Google и Instagram

Группа хакеров, которую исследователи безопасности называют LightBasin, взламывает системы мобильной связи по всему миру в течение последних пяти лет.

С 2019 года группа взломала более десятка телекоммуникационных компаний и сохраняла настойчивость с помощью специального вредоносного ПО, чтобы украсть данные, которые будут использоваться разведывательными организациями.

Переход через сети GPRS

LightBasin активен по крайней мере с 2016 года и нацелен, в частности, на серверы Linux и Solaris, хотя он действительно взаимодействовал с системами Windows, где это необходимо, в их миссии по краже информации о подписчиках и метаданных вызовов.

В сегодняшнем отчете компания CrowdStrike, занимающаяся кибербезопасностью, сообщает, что злоумышленник представляет собой сложную группу со стратегией строгой операционной безопасности (OPSEC).

Исследователи собрали вместе активность LightBasin, начиная с инцидента, который они расследовали в одной телекоммуникационной компании. Они узнали, что злоумышленник будет перепрыгивать из одной взломанной сети в другую через SSH-соединение и «ранее установленные имплантаты».

Среди телекоммуникационных систем, на которые нацелен LightBasin, — серверы External DNS (eDNS), системы Service Delivery Platform (SDP) и обеспечение SIM / IMEI, все из которых являются частью сети General Packet Radio Service (GPRS), которая обеспечивает роуминг между операторами мобильной связи. .

В ходе расследования CrowdStrike обнаружил, что злоумышленник сначала получил доступ к серверу eDNS через SSH-соединение из сети другой скомпрометированной компании.

Исследователи обнаружили доказательства того, что LightBasin взламывает систему, пытаясь использовать учетные данные по умолчанию для целевой системы.

После успешного взлома злоумышленник установил и запустил специальное вредоносное ПО, которое в настоящее время отслеживается как SLAPSTICK — бэкдор для модуля аутентификации Solaris Pluggable Authentication Module (PAM), который предоставляет доступ к системе на основе жестко запрограммированного пароля.

Обладая бэкдорным доступом к целевой системе Solaris, LightBasin мог красть пароли для перехода к другим системам и обеспечивать постоянство с помощью того же метода.

Позже хакеры получили доступ к нескольким серверам eDNS от взломанной телефонной компании через имплант, который CrowdStrike назвал PingPong.

PingPong будет получать команды через запрос ICMP, чтобы установить обратную оболочку TCP на IP-адрес и порт, указанные в пакете.

«Серверы eDNS обычно защищены от общего внешнего доступа в Интернет с помощью брандмауэров; волшебный пакет, который прослушивает PingPong, скорее всего, должен быть отправлен из другой скомпрометированной сетевой инфраструктуры GPRS»- CrowdStrike

Исследователи говорят, что они заметили обратные оболочки, созданные имплантатом PingPong, который через TCP-порт 53 (по умолчанию для DNS) общался с серверами других телекоммуникационных компаний в других частях мира.

Чтобы сохранить низкий профиль, LightBasin также добавил правила iptables к серверу eDNS, которые разрешили SSH-соединение от пяти скомпрометированных компаний.

Кроме того, злоумышленник использовал троянизированную версию утилиты iptables, которая удаляла выходные данные, содержащие первые два октета, с IP-адресов, принадлежащих другим взломанным компаниям, что затрудняло администраторам поиск измененных правил.

Новый метод перемещения данных между сетями

CrowdStrikes отмечает, что LightBasin использует новую технику для перемещения трафика через телекоммуникационную сеть, которая включает эмуляцию специального программного обеспечения и использование TinyShell, распространенного бэкдора Unix с открытым исходным кодом.

Актер создал сценарий bash, который объединил бэкдор TinyShell и общедоступное программное обеспечение (sgsnemu2), которое имитирует точки доступа к сети GPRS — так называемые обслуживающие узлы поддержки GPRS (SGSN) — для перемещения трафика между сетями через определенные мобильные станции.

Хотя сценарий выполнялся в системе все время, он выполнял только определенные шаги в течение получасового окна каждый день, аналогично запланированной задаче.

Роль эмулятора SGSN заключалась в том, чтобы установить альтернативный маршрут связи, если TinyShell не удалось подключиться к IP-адресу управления и контроля (C2) через маршрут, добавленный в интерфейс tun0.

CrowdStrike объясняет:

«Если подключение к IP-адресу не удается, сценарий запускает эмулятор SGSN в цикле, пытаясь подключиться к набору из девяти пар используемых номеров международной идентификации абонента мобильной связи (IMSI) и цифровой сети с интегрированными услугами для абонента мобильной связи (MSISDN). в качестве аргументов эмулятору SGSN; эти числа идентифицируют определенные мобильные устройства или мобильные станции, к которым эмулятор SGSN может создавать туннели. Этот процесс генерирует контекстные запросы протокола пакетных данных (PDP) для мобильных станций с парами номеров IMSI / MSISDN до тех пор, пока не будет установлено соединение. Если соединение установлено, эмулятор SGSN создает соединение с устройством через протокол туннелирования GPRS (GTP) и использует интерфейс tun0 для соединения».

После успешного завершения этого шага TinyShell может использовать интерфейс tun0 для связи с сервером C2 актера. Если в конце 30-минутного окна не происходит успешного подключения, сценарий bash убивает и эмулятор SGSN, и имплант TinyShell.

В своем сегодняшнем отчете CrowdStrike также перечисляет набор утилит и вредоносных программ, которые LightBasin использует в своих операциях:

  • CordScan — утилита сетевого сканирования и захвата пакетов, которая может сканировать и извлекать информацию, специфичную для телекоммуникационных протоколов.
  • SIGTRANslator — двоичный файл ELF, который может отправлять и получать данные через протоколы связи (SIGTRAN).
  • Fast Reverse Proxy — инструмент обратного прокси с открытым исходным кодом
  • Microsocks Proxy — легкий прокси-сервер SOCKS5 с открытым исходным кодом
  • ProxyChains — инструмент с открытым исходным кодом, который связывает прокси и направляет сетевой трафик через цепочку.

LightBasin также известен как UNC1945 и в ноябре 2020 года был представлен компанией Mandiant, занимающейся кибербезопасностью, как субъект , скомпрометировавший поставщиков управляемых услуг (MSP) для достижения целей в сфере финансового и профессионального консалтинга.

Mandiant отмечает, что злоумышленник нацелился на системы Oracle Solaris и в своей деятельности полагался на эксплойты уязвимостей, инструменты и вредоносное ПО для нескольких операционных систем.

Исследователи заявили, что UNC1945 проявил «дисциплинированный интерес к прикрытию или манипулированию своей деятельностью, а также продемонстрировал передовые технические способности во время интерактивных операций».

Несмотря на то, что ни от Mandiant, ни от CrowdStrike нет никакой информации, последний нашел подсказку, предполагающую, что разработчик SIGTRANslator в некоторой степени владеет китайским языком.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here