Un grupo de piratería “altamente sofisticado” llamado LightBasin ha recolectado datos de redes móviles de al menos 13 compañías de telecomunicaciones en los últimos dos años, según los investigadores de CrowdStrike.
El grupo, también conocido como UNC1945, fue revelado por primera vez por investigadores de Mandiant en noviembre de 2020, quienes mostraron que los piratas informáticos estaban apuntando a empresas de consultoría financiera y profesional al comprometer a sus proveedores de servicios administrados (MSP).
CrowdStrike dijo que el grupo utiliza herramientas personalizadas y un “conocimiento profundo” de la arquitectura de la red de telecomunicaciones para recopilar datos de valor para las agencias de inteligencia de señales.
Activo desde al menos 2016, LightBasin ha pasado a apuntar a las empresas de telecomunicaciones mediante el establecimiento de implantes en los sistemas Linux y Solaris, que ejecutan una combinación de infraestructura crítica para el sector.
Si bien CrowdStrike dijo que al menos 13 empresas de telecomunicaciones se habían visto afectadas por la campaña de dos años del grupo, no se nombró a ninguna de las empresas objetivo.
“Los hallazgos recientes destacan el amplio conocimiento de este grupo de protocolos de telecomunicaciones, incluida la emulación de estos protocolos para facilitar el comando y el control y el uso de herramientas de escaneo / captura de paquetes para recuperar información muy específica de la infraestructura de comunicaciones móviles, como información de suscriptores y metadatos de llamadas”. dijo CrowdStrike en un blog.
Dijo que LightBasin es un “adversario altamente sofisticado”, y la naturaleza de los datos objetivo, así como el rango de capacidades mostradas, es consistente con “una organización de inteligencia de señales con la necesidad de responder a los requisitos de recopilación contra un conjunto diverso de objetivos entornos ”.
El vicepresidente senior de CrowdStrike, Adam Meyers, dijo a Reuters que los atacantes pudieron recuperar datos específicos de manera discreta, y agregó: “Nunca había visto este grado de herramientas diseñadas específicamente”.
Aunque Reuters y otros informes de los medios han vinculado a los piratas informáticos con China, el informe CrowdStrike señaló que, si bien la criptografía utilizada por el grupo se basa en versiones fonéticas Pinyin de los caracteres del idioma chino, “CrowdStrike Intelligence no afirma un nexo entre LightBasin y China”.
El informe también dijo que LightBasin ejerció una fuerte estrategia de seguridad operativa (opsec) y que logró comprometer inicialmente a una de las compañías de telecomunicaciones que aprovechaban los servidores DNS externos (eDNS), parte de la red General Packet Radio Service (GPRS) que juega un papel clave. papel en el roaming entre diferentes operadores móviles: para conectarse a otras redes comprometidas a través de SSH y a través de implantes previamente establecidos.
“LightBasin inicialmente accedió al primer servidor eDNS a través de SSH de una de las otras compañías de telecomunicaciones comprometidas, con evidencia descubierta indicativa de intentos de rociado de contraseñas utilizando contraseñas extremadamente débiles y de terceros (p. Ej., Huawei), lo que podría ayudar a facilitar la inicial compromiso ”, decía.
“Posteriormente, LightBasin implementó su puerta trasera Slapstick PAM en el sistema para desviar las credenciales a un archivo de texto ofuscado. Como parte de las primeras operaciones de movimiento lateral para ampliar su acceso a través de la red, LightBasin luego cambió a sistemas adicionales para configurar más puertas traseras Slapstick “.
También dijo que la capacidad de LightBasin para pivotar entre varias empresas se deriva de los acuerdos de itinerancia de esas empresas, que permiten todo el tráfico entre estas organizaciones sin identificar los protocolos que realmente se requieren.
“Como tal, la recomendación clave aquí es que cualquier empresa de telecomunicaciones se asegure de que los firewalls responsables de la red GPRS tengan reglas para restringir el tráfico de red solo a los protocolos que se esperan, como DNS o GTP”, dijo el informe, agregando que simplemente restringir el tráfico de la red no resolverá el problema si una empresa ya ha sido víctima de una intrusión.
“En este caso, CrowdStrike recomienda una investigación de respuesta a incidentes que incluya la revisión de todos los sistemas de socios junto con todos los sistemas administrados por la propia organización”, agregó. “De manera similar, si una organización desea determinar si ha sido víctima de LightBasin, cualquier evaluación de compromiso también debe incluir una revisión de todos los sistemas mencionados anteriormente”.
CrowdStrike recomendó además que las empresas de telecomunicaciones lleven a cabo una evaluación de los controles de seguridad implementados con los MSP de terceros, porque sus investigaciones comúnmente revelan una falta de monitoreo o herramientas de seguridad en los sistemas de la red central.
Dijo que cualquier plan de respuesta a incidentes ideado por las empresas de telecomunicaciones debería establecer las funciones y responsabilidades de los MSP, de modo que las empresas puedan adquirir artefactos forenses que no estén directamente bajo su propia gestión.