Μια κινεζική ομάδα φέρεται να συνδέεται με στοχευμένες κυβερνοεπιθέσεις σε τηλεπικοινωνιακές εταιρείες στη Νότια Ασία και την Αφρική τουλάχιστον από το 2020, με στόχο τη συλλογή πληροφοριών. Η εταιρεία κυβερνοασφάλειας CrowdStrike παρακολουθεί τους Κινέζους hackers ως Liminal Panda και έχει παρατηρήσει ότι εκμεταλλεύονται τηλεπικοινωνιακά δίκτυα, πρωτόκολλα που στηρίζουν τις τηλεπικοινωνίες (π.χ. SIGTRAN, GSM) και διάφορες διασυνδέσεις μεταξύ παρόχων.

Οι επιτιθέμενοι χρησιμοποιούν ειδικά εργαλεία που διευκολύνουν την παράνομη πρόσβαση και την εξαγωγή δεδομένων.
“Η Liminal Panda χρησιμοποίησε παραβιασμένους διακομιστές τηλεπικοινωνιών για να ξεκινήσει εισβολές σε περαιτέρω παρόχους σε άλλες γεωγραφικές περιοχές“, ανέφερε η ομάδα Counter Adversary Operations της CrowdStrike.
Δείτε επίσης: Hackers εκμεταλλεύονται την T-Mobile για να αποσπάσουν ευαίσθητες πληροφορίες
Οι Κινέζοι hackers Liminal Panda χρησιμοποιούν πρωτόκολλα που υποστηρίζουν την κινητή τηλεφωνία, όπως GSM protocols για ενεργοποίηση του C2, ενώ παράλληλα αναπτύσσουν εργαλεία για την ανάκτηση πληροφοριών συνδρομητών κινητής τηλεφωνίας, μεταδεδομένων κλήσεων και μηνυμάτων κειμένου (SMS).
Μερικά από τα εργαλεία, που χρησιμοποιούν οι hackers, είναι το SIGTRANslator, το CordScan και το PingPong, τα οποία διαθέτουν τις ακόλουθες δυνατότητες:
- SIGTRANslator: Έχει σχεδιαστεί για την αποστολή και λήψη δεδομένων χρησιμοποιώντας πρωτόκολλα SIGTRAN
- CordScan: Ένα βοηθητικό πρόγραμμα σάρωσης δικτύου που ανακτά δεδομένα που σχετίζονται με κοινά πρωτόκολλα τηλεπικοινωνιών, από υποδομές όπως το Serving GPRS Support Node (SGSN).
- PingPong: Ένα backdoor που παρακολουθεί εισερχόμενα magic ICMP echo requests και ρυθμίζει μια σύνδεση TCP reverse shell σε μια διεύθυνση IP και μια θύρα που καθορίζονται στο πακέτο
Οι Κινέζοι hackers Liminal Panda διεισδύουν σε εξωτερικούς διακομιστές DNS (eDNS) χρησιμοποιώντας εξαιρετικά αδύναμους και κλεμμένους κωδικούς πρόσβασης. Επίσης, χρησιμοποιούν το TinyShell σε συνδυασμό με έναν δημοσίως διαθέσιμο εξομοιωτή SGSN που ονομάζεται sgsnemu (για επικοινωνίες C2).
“Το TinyShell είναι ένα open-source Unix backdoor που χρησιμοποιείται από πολλές ομάδες hacking“, δήλωσε η CrowdStrike. “Τα SGSN είναι ουσιαστικά GPRS network access points και το λογισμικό εξομοίωσης επιτρέπει στον επιτιθέμενο να διοχετεύει το tunnel traffic μέσω αυτού του δικτύου τηλεπικοινωνιών“.
Δείτε επίσης: Hive0145 hackers: Phishing επιθέσεις διανέμουν το Strela Stealer στην Ευρώπη
Ο τελικός στόχος των επιθέσεων είναι η συλλογή πληροφοριών network telemetry και στοιχείων συνδρομητών ή η παραβίαση άλλων τηλεπικοινωνιακών εταιρειών.
“Οι hackers Liminal Panda καταχρώνται, συνήθως, τις σχέσεις εμπιστοσύνης μεταξύ των παρόχων τηλεπικοινωνιών και τα κενά στις πολιτικές ασφαλείας, και αποκτούν πρόσβαση στην βασική υποδομή από εξωτερικούς κεντρικούς υπολογιστές“, είπε η εταιρεία.

Τηλεπικοινωνιακές εταιρείες: Προστασία δικτύων από κυβερνοεπιθέσεις
Οι τηλεπικοινωνιακές εταιρείες μπορούν να προστατεύσουν τα δίκτυά τους από κυβερνοεπιθέσεις λαμβάνοντας κάποια μέτρα προστασίας.
Το πρώτο και ίσως πιο κρίσιμο βήμα είναι η εκπαίδευση. Οι επιθέσεις αυξάνονται σε συχνότητα και πολυπλοκότητα, γι’ αυτό είναι σημαντικό για όλους στην εταιρεία να είναι ενημερωμένοι και να καταλαβαίνουν τον κίνδυνο. Η τακτική επιμόρφωση και τα σεμινάρια μπορούν να βοηθήσουν στην απόκτηση αυτών των πληροφοριών. Οι υπάλληλοι θα πρέπει να μάθουν τα σημάδια μιας phishing επίθεσης και άλλων τακτικών που χρησιμοποιούν οι επιτιθέμενοι.
Η τακτική ενημέρωση και αναβάθμιση του λογισμικού και των συσκευών είναι άλλο ένα σημαντικό μέτρο αποτροπής κυβερνοεπιθέσεων. Τα μη ενημερωμένα συστήματα είναι πιο ευάλωτα σε επιθέσεις.
Έπειτα, οι εταιρείες πρέπει να χρησιμοποιούν προηγμένα συστήματα ασφαλείας. Αυτά τα συστήματα περιλαμβάνουν την ανίχνευση εισβολών και την πρόληψη εισβολών, ενώ σημαντική είναι και η χρήση αξιόπιστων λογισμικών προστασίας από ιούς.
Επιπλέον, οι εταιρείες μπορούν να χρησιμοποιήσουν την κρυπτογράφηση για να προστατεύσουν τα δεδομένα που μεταδίδονται μέσω των δικτύων τους. Η κρυπτογράφηση μετατρέπει τα δεδομένα σε μια μορφή που μπορεί να αποκωδικοποιηθεί μόνο με ένα ειδικό κλειδί.
Οι τηλεπικοινωνιακές εταιρείες μπορούν, ακόμα, να εφαρμόσουν πολιτικές πρόσβασης για να περιορίσουν ποιοι μπορούν να έχουν πρόσβαση στα δίκτυά τους. Αυτό μπορεί να περιλαμβάνει την απαίτηση για crednetials πρόσβασης, την επαλήθευση δύο παραγόντων και την παρακολούθηση της συμπεριφοράς των χρηστών.
Δείτε επίσης: ΗΠΑ: Κατηγορίες εναντίον των “Snowflake hackers”
Η χρήση firewall και VPN μπορεί, επίσης, να είναι πολύ χρήσιμη, καθώς και η δημιουργία αντιγράφων ασφαλείας για την επαναφορά κλεμμένων ή κλειδωμένων αρχείων.
Τέλος, η τμηματοποίηση του δικτύου είναι απαραίτητη ώστε να μην μπορεί να εξαπλωθεί μια επίθεση σε όλα τα συστήματα μιας εταιρείας.
Πηγή: thehackernews.com