Группировка LightBasin за 2 года взломала 13 телеком-компаний

Киберпреступная группировка, названная исследователями безопасности LightBasin, уже в течение пяти лет взламывает системы мобильной связи по всему миру. С 2019 года группировка атаковала более десятка телекоммуникационных компаний и сохраняла свое присутствие в их сетях с помощью кастомного вредоносного ПО. Целью хакеров являлся сбор информации абонентов и метаданных для разведслужб.

LightBasin активна как минимум с 2016 года и атакует серверы в основном Linux и Solaris, однако при необходимости хакеры также могут взламывать Windows-системы. В своем новом отчете специалисты ИБ-компании CrowdStrike характеризуют LightBasin как высококвалифицированную группу с очень надежной стратегией операционной безопасности (OPSEC).

Исследователи по кусочкам собрали сведения об активности LightBasin, начиная с расследуемого ими инцидента в одной из телекоммуникационных компаний. Как удалось выяснить, злоумышленники перемещаются из одной взломанной сети в другую через SSH-соединение и "заранее установленные закладки".

В список атакуемых телекоммуникационных систем входят: серверы External DNS (eDNS), Service Delivery Platform (SDP) и системы регистрации SIM/IMEI. Все эти системы являются частью сети General Packet Radio Service (GPRS), обеспечивающей возможность роуминга между операторами связи.

Как установили исследователи, злоумышленники сначала получают доступ к серверу eDNS через SSH-соединение из сети другой скомпрометированной компании. Эксперты также обнаружили признаки того, что для получения доступа к системе хакеры используют брутфорс-атаки - пытаются авторизоваться, подставляя учетные данные по умолчанию.

После успешной компрометации группировка устанавливает и выполняет кастомное вредоносное ПО, в настоящее время идентифицируемое как SLAPSTICK - бэкдор для PAM-модуля ОС Oracle Solaris, предоставляющий доступ к системе на базе вшитого пароля. Благодаря доступу к Solaris через бэкдор злоумышленники могут похищать пароли для авторизации в других системах и сохранения постоянства.

Группировка получила доступ ко множеству серверам eDNS из сетей скомпрометированной телекоммуникационной компании через закладку, которой специалисты CrowdStrike дали название PingPong.

PingPong получает команды через ICMP-запросы для установки обратной оболочки TCP на указанный в пакете IP-адрес и порт.

"Серверы eDNS обычно защищены от внешнего доступа через интернет с помощью межсетевых экранов; волшебный пакет PingPong слушает то, что, вероятнее всего, будет отправлено из инфраструктуры другой скомпрометированной сети GPRS" - пояснили исследователи.

Эксперты обнаружили созданную закладкой PingPong обратную оболочку, коммуницирующую через TCP-порт 53 (по умолчанию для DNS) с серверами других телекоммуникационных компаний в других уголках мира.

Для того чтобы оставаться незаметной, группировка добавляет на сервер eDNS правила iptables, разрешающие SSH-соединение с пятью скомпрометированными компаниями.

Вдобавок ко всему, хакеры используют троянизированную версию утилиты iptables, которая удаляет исходящие данные, содержащие первые два октета IP-адресов, принадлежащих другим взломанным компаниям. Это усложняет администраторам поиск измененных правил.

В своем отчете специалисты CrowdStrike представили список используемых LightBasin утилит и вредоносных программ:

CordScan - утилита для сканирования сети и захвата пакетов, способная создавать отпечатки и извлекать информацию, относящуюся к телекоммуникационным протоколам;

SIGTRANslator - двоичный файл ELF, способный отправлять и получать данные через телекоммуникационные протоколы (SIGTRAN);

Fast Reverse Proxy - инструмент обратного прокси с открытым исходным кодом;

Microsocks Proxy - легковесный прокси-сервер SOCKS5 с открытым исходным кодом;

ProxyChains - инструмент с открытым исходным кодом, связывающий прокси вместе и направляющий сетевой трафик через их цепочку.

Специалисты CrowdStrike не относят группировку к какой-либо стране. Тем не менее, эксперты Mandiant обнаружили свидетельства того, что разработчик SIGTRANslator знает китайский язык.

PAM-модули (Pluggable Authentication Modules) - подключаемые модули аутентификации. Набор разделяемых библиотек, позволяющих интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Это обеспечивает единые механизмы для управления, встраивания прикладных программ в процесс аутентификации. Является одной из частей стандартного механизма обеспечения безопасности UNIX-систем.

iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана netfilter для ядер Linux версий 2.4, 2.6, 3.x, 4.x. Для использования утилиты iptables требуются привилегии суперпользователя.