LightBasin

Группа кибершпионажа

LightBasin , также называемая UNC1945 компанией Mandiant , является предполагаемой китайской группой кибершпионажа, которая была описана как продвинутая постоянная угроза , связанная с многочисленными кибератаками на телекоммуникационные компании. ^[1]^[2]^[3] Как продвинутая постоянная угроза, они стремятся получить несанкционированный доступ к компьютерной сети и оставаться незамеченными в течение длительного периода. Они были связаны с атаками, нацеленными на системы Linux и Solaris . ^[1]^[2]^[3]

История

Кибершпионская группа LightBasin действует с 2016 года. ^[1]^[2] CrowdStrike утверждает, что они базируются в Китае , хотя их точное местонахождение неизвестно. ^[1] Они атаковали 13 операторов связи. ^[2]

Цели

CrowdStrike утверждает, что группа необычна тем, что нацеливается на протоколы и технологии операторов связи . ^[1] Согласно расследованию CrowdStrike одного из таких нарушений, LightBasin использовал внешние серверы Domain Name System (eDNS), которые являются частью сети General Packet Radio Service (GPRS) и играют роль в роуминге между различными операторами мобильной связи, чтобы напрямую подключаться к сетям GPRS других скомпрометированных телекоммуникационных компаний через Secure Shell и через ранее установленные импланты. Многие из их инструментов написаны для них, а не являются готовыми. ^[1]

После взлома системы они установили бэкдор , известный как SLAPSTICK, для модуля аутентификации Solaris Pluggable . ^[2] Они используют TinyShell, который является командной оболочкой Python , используемой для управления и выполнения команд через HTTP- запросы к веб-оболочке , ^[4] чтобы общаться с IP-адресами злоумышленников. Скрипты туннелируются через эмулятор SGSN , который, по словам CrowdStrike, должен поддерживать OPSEC . ^[3] Узел поддержки обслуживания GPRS (SGSN) является основным компонентом сети GPRS, который обрабатывает все пакетно-коммутируемые данные в сети, например, управление мобильностью и аутентификацию пользователей. ^[5] Использование этой формы туннелирования снижает вероятность ограничения или проверки решениями сетевой безопасности. ^[1]^[3]

CrowdStrike рекомендует настроить брандмауэры , работающие с трафиком GPRS, на ограничение доступа к трафику DNS или протокола туннелирования GPRS. ^[1]

Ссылки

^ abcdefgh Николс, Шон (2021-10-20). «Хакеры 'LightBasin' провели 5 лет, скрываясь в сетях телекоммуникаций». TechTarget . Архивировано из оригинала 29-11-2023 . Получено 08-04-2022 .
^ abcde Ilascu, Ionut (2021-10-19). "Хакерская группа LightBasin взломала 13 глобальных телекоммуникационных компаний за два года". Bleeping Computer . Архивировано из оригинала 2023-07-24 . Получено 2022-04-08 .
^ abcd "LightBasin: роуминговая угроза телекоммуникационным компаниям". CrowdStrike . 19 октября 2021 г. Архивировано из оригинала 8 апреля 2022 г. Получено 9 апреля 2022 г.
^ "День 27: Tiny SHell (SSH-подобный бэкдор с полнофункциональным терминалом pty)". Medium . 26 января 2019 г.
^ "SGSN". Telecom ABC . Архивировано из оригинала 2022-05-17 . Получено 2022-05-11 .

Внешние ссылки

Запись блога Crowdstrike на LightBasin
Запись в блоге Beyond Trust на LightBasin

[techtarget-lightbasin-1] Николс, Шон (2021-10-20). «Хакеры 'LightBasin' провели 5 лет, скрываясь в сетях телекоммуникаций». TechTarget . Архивировано из оригинала 29-11-2023 . Получено 08-04-2022 .

[bleeping-computer-lightbasin-2] Ilascu, Ionut (2021-10-19). "Хакерская группа LightBasin взломала 13 глобальных телекоммуникационных компаний за два года". Bleeping Computer . Архивировано из оригинала 2023-07-24 . Получено 2022-04-08 .

[CrowdstrikeBlog-3] "LightBasin: роуминговая угроза телекоммуникационным компаниям". CrowdStrike . 19 октября 2021 г. Архивировано из оригинала 8 апреля 2022 г. Получено 9 апреля 2022 г.

[4] "День 27: Tiny SHell (SSH-подобный бэкдор с полнофункциональным терминалом pty)". Medium . 26 января 2019 г.

[5] "SGSN". Telecom ABC . Архивировано из оригинала 2022-05-17 . Получено 2022-05-11 .