10月20日,网络安全公司赛门铁克刚刚披露了一个针对南亚电信公司的神秘APT(AdvancedPersistentThreat)组织。LightBasin的黑客组织已被确定是针对电信行业的一系列攻击的幕后黑手,其目标是从移动通信基础设施中收集“高度特定的信息”,例如用户信息和呼叫元数据。网络安全公司CrowdStrike研究人员发表分析报告称:LightBasin又名UNC1945,自2016年以来一直活跃。据统计,自2019年以来,LightBasin已使用自定义工具通过电信防御漏洞攻击全球13家公司协议。电信公司。CrowdStrike的一项调查发现,攻击者利用外部DNS(eDNS)服务器通过SSH和先前建立的后门(例如PingPong)直接连接到其他电信公司的GPRS网络,在密码喷射攻击的帮助下安装恶意软件以窃取其他网络系统密码。攻击者能够冒充GPRS网络接入点,以便结合先前建立的后门执行命令,通过电信网络传输流量控制通信。在LightBasin恶意软件库中,有一个名为“CordScan”的网络扫描和数据包捕获实用程序,它允许运营商对移动设备进行指纹识别,还有“SIGTRANslator”,一个接收到的ELF二进制文件,用于通过IP网络传输PSTN信令)。CrowdStrike指出,攻击者利用电信公司之间的漫游协议需要服务器相互通信,打通跨组织流量后可以在多个电信公司之间切换。为了避免类似的攻击,CrowdStrike建议电信公司创建GPRS网络防火墙规则,以限制以前协议(如DNS或GTP)上的网络流量。参考来源:https://thehackernews.com/2021/10/lightbasin-hackers-breach-at-least-13.html
