[[430380]]

10月20日，網(wǎng)絡(luò)安全公司賽門鐵克剛披露了一個(gè)針對(duì)南亞電信公司的神秘APT(高級(jí)持續(xù)威脅)組織，一個(gè)名為 LightBasin 的黑客組織被確定為針對(duì)電信行業(yè)發(fā)起一系列攻擊的幕后黑手，其目標(biāo)是從移動(dòng)通信基礎(chǔ)設(shè)施中收集“高度特定信息”，例如用戶信息和呼叫元數(shù)據(jù)。

網(wǎng)絡(luò)安全公司 CrowdStrike 研究人員發(fā)表分析報(bào)告稱： LightBasin 又名UNC1945，這一組織從2016年起開始活躍，據(jù)統(tǒng)計(jì)自2019年以來， LightBasin 利用自定義工具通過電信協(xié)議中的防御漏洞攻擊了全球13家電信公司。

CrowdStrike 調(diào)查發(fā)現(xiàn)，攻擊者利用外部DNS (eDNS) 服務(wù)器通過 SSH 和先前建立的后門(如 PingPong)直接連接到其他電信公司的 GPRS 網(wǎng)絡(luò)，在密碼噴射攻擊的幫助下安裝惡意軟件，以竊取其他網(wǎng)絡(luò)系統(tǒng)的密碼。

攻擊者能夠模擬GPRS網(wǎng)絡(luò)接入點(diǎn)，以便與先前建立的后門一起執(zhí)行命令通過電信網(wǎng)絡(luò)傳輸流量控制通信。

LightBasin 惡意軟件庫(kù)中有一個(gè)名為“CordScan”的網(wǎng)絡(luò)掃描和數(shù)據(jù)包捕獲實(shí)用程序，它能允許運(yùn)營(yíng)商對(duì)移動(dòng)設(shè)備進(jìn)行指紋識(shí)別及“SIGTRANslator“(一種可以通過衛(wèi)星定位系統(tǒng)協(xié)議套件傳輸和數(shù)據(jù)接收的ELF二進(jìn)制文件，用來通過IP網(wǎng)絡(luò)承載公共交換電話網(wǎng)信令)。

CrowdStrike 指出，攻擊者正是借助電信公司之間的漫游協(xié)議需要服務(wù)器相互通信這點(diǎn)，打通了組織間流量后能在多家電信公司之間進(jìn)行切換。為避免類似攻擊，CrowdStrike 建議電信公司制定 GPRS 網(wǎng)絡(luò)防火墻規(guī)則，在 DNS 或 GTP等先前協(xié)議上限制網(wǎng)絡(luò)流量。

參考來源：https://thehackernews.com/2021/10/lightbasin-hackers-breach-at-least-13.html