Μια ομάδα hacking που οι ερευνητές ασφαλείας αποκαλούν LightBasin τα τελευταία πέντε χρόνια έχει θέσει σε κίνδυνο πολλά συστήματα κινητής τηλεπικοινωνίας σε όλο τον κόσμο.
Δείτε επίσης: REvil ransomware: “Κλείνει” ξανά μετά από παραβίαση των Tor sites
Από το 2019, η ομάδα εισέβαλε σε περισσότερες από δώδεκα εταιρείες τηλεπικοινωνιών και διατήρησε το persistence μέσω προσαρμοσμένου malware, για να κλέψει δεδομένα που θα εξυπηρετούσαν οργανώσεις πληροφοριών.
Η ομάδα LightBasin είναι ενεργή τουλάχιστον από το 2016 και συνήθως στοχεύει servers Linux και Solaris, αν και αλληλεπιδρούσε και με συστήματα Windows όπου ήταν απαραίτητο, στην αποστολή της να κλέψει πληροφορίες συνδρομητών.
Σε μια σημερινή έκθεση, η εταιρεία κυβερνοασφάλειας CrowdStrike λέει ότι ο απειλητικός φορέας είναι μια εξελιγμένη ομάδα με ισχυρή στρατηγική επιχειρησιακής ασφάλειας (OPSEC).
Οι ερευνητές βρήκαν τα στοιχεία για τη δραστηριότητα της LightBasin ξεκινώντας από ένα περιστατικό που ερεύνησαν σε μία εταιρεία τηλεπικοινωνιών. Έμαθαν ότι ο adversary θα πήγαινε από το ένα παραβιασμένο δίκτυο στο άλλο μέσω μιας σύνδεσης SSH και “εγκατεστημένων εμφυτευμάτων”.
Δείτε επίσης: Acer: Επιβεβαίωσε την παραβίαση δεδομένων μετά την κυβερνοεπίθεση
Μεταξύ των τηλεπικοινωνιακών συστημάτων που στοχεύει η LightBasin είναι servers External DNS (eDNS), συστήματα πλατφόρμας παροχής υπηρεσιών (SDP) και provisioning SIM/IMEI, όλα τα οποία αποτελούν μέρος του δικτύου General Packet Radio Service (GPRS) που επιτρέπει την περιαγωγή μεταξύ φορέων κινητής τηλεφωνίας.
Κατά τη διάρκεια της έρευνάς της, η CrowdStrike διαπίστωσε ότι ο απειλητικός φορέας είχε πρώτα πρόσβαση σε έναν server eDNS μέσω μιας σύνδεσης SSH από το δίκτυο μιας άλλης παραβιασμένης εταιρείας.
Οι ερευνητές βρήκαν στοιχεία ότι η LightBasin κάνει brute-forcing στο σύστημα δοκιμάζοντας τα προεπιλεγμένα credentials για το στοχευμένο σύστημα.
Μετά από μια πετυχημένη παραβίαση, ο απειλητικός φορέας εγκατέστησε και εκτέλεσε προσαρμοσμένο malware που αναφέρεται ως SLAPSTICK – ένα backdoor για το Solaris Pluggable Authentication Module (PAM) που δίνει πρόσβαση στο σύστημα με hardcoded κωδικό.
Με πρόσβαση backdoor στο στοχευμένο σύστημα Solaris, η LightBasin θα μπορούσε να κλέψει κωδικούς πρόσβασης για να εισβάλει και σε άλλα συστήματα και να δημιουργήσει persistence με την ίδια μέθοδο.
Σε μεταγενέστερο χρόνο, οι χάκερ είχαν πρόσβαση σε πολλούς servers eDNS από ένα παραβιασμένο telco μέσω ενός εμφυτεύματος που η CrowdStrike ονόμασε PingPong.
Δείτε επίσης: ΗΠΑ: Θα μηνύουν εργολάβους που κρύβουν περιστατικά παραβίασης
Το PingPong λάμβανε εντολές μέσω αιτήματος ICMP για να ορίσει ένα reverse shell TCP σε μια διεύθυνση IP και θύρα που καθορίζονται στο πακέτο.
Οι ερευνητές λένε ότι παρατήρησαν reverse shells που δημιουργήθηκαν από το εμφύτευμα PingPong που “συνομιλούσαν” μέσω της θύρας TCP 53 (προεπιλογή για DNS) με servers άλλων τηλεπικοινωνιακών εταιρειών σε άλλα μέρη του κόσμου.
Για να διατηρήσει χαμηλό προφίλ, η LightBasin πρόσθεσε και κανόνες iptables στον server eDNS που επέτρεπαν την επικοινωνία SSH από πέντε εταιρείες που παραβιάστηκαν.
Επιπλέον, ο χάκερ χρησιμοποίησε μια trojanized έκδοση του iptables utility που αφαίρεσε το output που περιείχε τις δύο πρώτες οκτάδες από διευθύνσεις IP που ανήκαν σε άλλες hacked εταιρείες, καθιστώντας πιο δύσκολο για τους διαχειριστές να βρουν τους τροποποιημένους κανόνες.
Πηγή πληροφοριών: bleepingcomputer.com
