Целью хакеров являлся сбор информации абонентов и метаданных для разведслужб.
Киберпреступная группировка, названная исследователями безопасности LightBasin, уже в течение пяти лет взламывает системы мобильной связи по всему миру. С 2019 года группировка атаковала более десятка телекоммуникационных компаний и сохраняла свое присутствие в их сетях с помощью кастомного вредоносного ПО. Целью хакеров являлся сбор информации абонентов и метаданных для разведслужб.
LightBasin активна как минимум с 2016 года и атакует серверы в основном Linux и Solaris, однако при необходимости хакеры также могут взламывать Windows-системы. В своем новом отчете специалисты ИБ-компании CrowdStrike характеризуют LightBasin как высококвалифицированную группу с очень надежной стратегией операционной безопасности (OPSEC).
Исследователи по кусочкам собрали сведения об активности LightBasin, начиная с расследуемого ими инцидента в одной из телекоммуникационных компаний. Как удалось выяснить, злоумышленники перемещаются из одной взломанной сети в другую через SSH-соединение и "заранее установленные закладки".
В список атакуемых телекоммуникационных систем входят: серверы External DNS (eDNS), Service Delivery Platform (SDP) и системы регистрации SIM/IMEI. Все эти системы являются частью сети General Packet Radio Service (GPRS), обеспечивающей возможность роуминга между операторами связи.
Как установили исследователи, злоумышленники сначала получают доступ к серверу eDNS через SSH-соединение из сети другой скомпрометированной компании. Эксперты также обнаружили признаки того, что для получения доступа к системе хакеры используют брутфорс-атаки — пытаются авторизоваться, подставляя учетные данные по умолчанию.
После успешной компрометации группировка устанавливает и выполняет кастомное вредоносное ПО, в настоящее время идентифицируемое как SLAPSTICK — бэкдор для PAM-модуля ОС Oracle Solaris, предоставляющий доступ к системе на базе вшитого пароля. Благодаря доступу к Solaris через бэкдор злоумышленники могут похищать пароли для авторизации в других системах и сохранения постоянства.
Группировка получила доступ ко множеству серверам eDNS из сетей скомпрометированной телекоммуникационной компании через закладку, которой специалисты CrowdStrike дали название PingPong.
PingPong получает команды через ICMP-запросы для установки обратной оболочки TCP на указанный в пакете IP-адрес и порт.
"Серверы eDNS обычно защищены от внешнего доступа через интернет с помощью межсетевых экранов; волшебный пакет PingPong слушает то, что, вероятнее всего, будет отправлено из инфраструктуры другой скомпрометированной сети GPRS" — пояснили исследователи.
Эксперты обнаружили созданную закладкой PingPong обратную оболочку, коммуницирующую через TCP-порт 53 (по умолчанию для DNS) с серверами других телекоммуникационных компаний в других уголках мира.
Для того чтобы оставаться незаметной, группировка добавляет на сервер eDNS правила iptables, разрешающие SSH-соединение с пятью скомпрометированными компаниями.
Вдобавок ко всему, хакеры используют троянизированную версию утилиты iptables, которая удаляет исходящие данные, содержащие первые два октета IP-адресов, принадлежащих другим взломанным компаниям. Это усложняет администраторам поиск измененных правил.
В своем отчете специалисты CrowdStrike представили список используемых LightBasin утилит и вредоносных программ:
CordScan — утилита для сканирования сети и захвата пакетов, способная создавать отпечатки и извлекать информацию, относящуюся к телекоммуникационным протоколам;
SIGTRANslator — двоичный файл ELF, способный отправлять и получать данные через телекоммуникационные протоколы (SIGTRAN);
Fast Reverse Proxy — инструмент обратного прокси с открытым исходным кодом;
Microsocks Proxy — легковесный прокси-сервер SOCKS5 с открытым исходным кодом;
ProxyChains — инструмент с открытым исходным кодом, связывающий прокси вместе и направляющий сетевой трафик через их цепочку.
Специалисты CrowdStrike не относят группировку к какой-либо стране. Тем не менее, эксперты Mandiant обнаружили свидетельства того, что разработчик SIGTRANslator знает китайский язык.
PAM-модули (Pluggable Authentication Modules) — подключаемые модули аутентификации. Набор разделяемых библиотек, позволяющих интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Это обеспечивает единые механизмы для управления, встраивания прикладных программ в процесс аутентификации. Является одной из частей стандартного механизма обеспечения безопасности UNIX-систем.
iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана netfilter для ядер Linux версий 2.4, 2.6, 3.x, 4.x. Для использования утилиты iptables требуются привилегии суперпользователя.
Как установили исследователи, злоумышленники сначала получают доступ к серверу eDNS через SSH-соединение из сети другой скомпрометированной компании. Эксперты также обнаружили признаки того, что для получения доступа к системе хакеры используют брутфорс-атаки — пытаются авторизоваться, подставляя учетные данные по умолчанию.
После успешной компрометации группировка устанавливает и выполняет кастомное вредоносное ПО, в настоящее время идентифицируемое как SLAPSTICK — бэкдор для PAM-модуля ОС Oracle Solaris, предоставляющий доступ к системе на базе вшитого пароля. Благодаря доступу к Solaris через бэкдор злоумышленники могут похищать пароли для авторизации в других системах и сохранения постоянства.
Группировка получила доступ ко множеству серверам eDNS из сетей скомпрометированной телекоммуникационной компании через закладку, которой специалисты CrowdStrike дали название PingPong.
PingPong получает команды через ICMP-запросы для установки обратной оболочки TCP на указанный в пакете IP-адрес и порт.
"Серверы eDNS обычно защищены от внешнего доступа через интернет с помощью межсетевых экранов; волшебный пакет PingPong слушает то, что, вероятнее всего, будет отправлено из инфраструктуры другой скомпрометированной сети GPRS" — пояснили исследователи.
Эксперты обнаружили созданную закладкой PingPong обратную оболочку, коммуницирующую через TCP-порт 53 (по умолчанию для DNS) с серверами других телекоммуникационных компаний в других уголках мира.
Для того чтобы оставаться незаметной, группировка добавляет на сервер eDNS правила iptables, разрешающие SSH-соединение с пятью скомпрометированными компаниями.
Вдобавок ко всему, хакеры используют троянизированную версию утилиты iptables, которая удаляет исходящие данные, содержащие первые два октета IP-адресов, принадлежащих другим взломанным компаниям. Это усложняет администраторам поиск измененных правил.
В своем отчете специалисты CrowdStrike представили список используемых LightBasin утилит и вредоносных программ:
CordScan — утилита для сканирования сети и захвата пакетов, способная создавать отпечатки и извлекать информацию, относящуюся к телекоммуникационным протоколам;
SIGTRANslator — двоичный файл ELF, способный отправлять и получать данные через телекоммуникационные протоколы (SIGTRAN);
Fast Reverse Proxy — инструмент обратного прокси с открытым исходным кодом;
Microsocks Proxy — легковесный прокси-сервер SOCKS5 с открытым исходным кодом;
ProxyChains — инструмент с открытым исходным кодом, связывающий прокси вместе и направляющий сетевой трафик через их цепочку.
Специалисты CrowdStrike не относят группировку к какой-либо стране. Тем не менее, эксперты Mandiant обнаружили свидетельства того, что разработчик SIGTRANslator знает китайский язык.
PAM-модули (Pluggable Authentication Modules) — подключаемые модули аутентификации. Набор разделяемых библиотек, позволяющих интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Это обеспечивает единые механизмы для управления, встраивания прикладных программ в процесс аутентификации. Является одной из частей стандартного механизма обеспечения безопасности UNIX-систем.
iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана netfilter для ядер Linux версий 2.4, 2.6, 3.x, 4.x. Для использования утилиты iptables требуются привилегии суперпользователя.
Источник: securitylab