Los piratas informáticos de LightBasin han violado al menos 13 proveedores de servicios de telecomunicaciones desde 2019

piratas informáticos de telecomunicaciones

Varios ataques dirigidos al sector de las telecomunicaciones han identificado a un adversario altamente sofisticado llamado LightBasin para recopilar «información altamente específica» de la infraestructura de comunicaciones móviles, como información de suscriptores y metadatos de llamadas.

«La naturaleza de los datos a los que apunta este actor corresponde a información que podría ser de gran interés para las organizaciones de inteligencia de señales», dijeron los investigadores de ciberseguridad CrowdStrike en un análisis publicado el martes.

LightBasin (conocido como UNC1945), ya conocido como activo en 2016, cree que desde 2019 ha comprometido a 13 empresas de telecomunicaciones de todo el mundo utilizando sus propias herramientas y su amplio conocimiento de los protocolos de telecomunicaciones para las organizaciones de corte. No se reveló la identidad de las entidades objetivo, ni los hallazgos vincularon las actividades del clúster con un país específico.

De hecho, un incidente reciente de CrowdStrike reveló que el intruso objetivo usó servidores DNS externos (eDNS) para conectarse directamente hacia y desde las redes GPRS de otras compañías de telecomunicaciones comprometidas a través de SSH y a través de puertas traseras previamente establecidas como PingPong. El compromiso inicial se ve facilitado por los ataques de rociado de contraseñas, que a su vez conducen a la instalación del malware SLAPSTICK, que roba contraseñas y cambia a otros sistemas en la red.

Otras indicaciones basadas en datos de telemetría demuestran la capacidad del intruso objetivo para emular los puntos de acceso GPRS para realizar comunicaciones de comando y control junto con una puerta trasera basada en Unix llamada TinyShell, lo que permite a un atacante canalizar el tráfico a través de una red de telecomunicaciones. .

Entre las muchas herramientas en el arsenal de malware de LightBasin se encuentra una herramienta de interceptación y escaneo de paquetes de red llamada «CordScan», que permite a los operadores tomar huellas digitales de dispositivos móviles, así como «SIGTRANslator», un archivo binario ELF que puede transmitir y recibir datos a través de SIGTRAN. conjunto de protocolos. , que se utiliza para transmitir señales de red telefónica pública conmutada (PSTN) a través de redes IP.

“No en vano, los servidores tendrán que comunicarse entre sí bajo acuerdos de roaming entre empresas de telecomunicaciones; sin embargo, la capacidad de LightBasin para cambiar entre múltiples compañías de telecomunicaciones se basa en permitir todo el tráfico entre estas organizaciones sin identificar los protocolos que realmente se requieren. Dijo CrowdStrike.

«Como tal, existe una recomendación clave para que cualquier empresa de telecomunicaciones se asegure de que los firewalls de GPW tengan reglas establecidas para restringir el tráfico de red a protocolos esperados como DNS o GTP», agregó la empresa.

Los hallazgos también se producen cuando la compañía de seguridad cibernética de Symantec publicó detalles de un Grupo de Amenazas Persistentes Avanzadas (APT) nunca antes visto, apodado «Harvester», que estaba vinculado a una campaña de robo de información dirigida a los sectores de telecomunicaciones, gobierno y tecnología de la información en Sudáfrica.Asia. a partir de junio de 2021 usando su propio implante llamado «Graphon».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática