Tin An Ninh Mạng

Nhóm hacker truy cập bản ghi cuộc gọi của các công ty viễn thông trên toàn thế giới

Nhóm gián điệp mạng LightBasin, được cho là liên quan đến Trung Quốc, đã tấn công mạng điện thoại di động trên khắp thế giới và sử dụng các công cụ chuyên dụng để truy cập hồ sơ cuộc gọi và tin nhắn.

Theo các nhà nghiên cứu, nhóm gián điệp mạng đã hoạt động ít nhất từ năm 2016, với bộ công cụ rất tinh vi. It nhất 13 công ty viễn thông đã bị nhóm này xâm nhập từ năm 2019.

Chiến dịch tấn công bị các nhà nghiên cứu ‘phanh phui’ khi điều tra một loạt sự cố an ninh mạng ở nhiều quốc gia. Theo các nhà nghiên cứu, hacker thể hiện kiến thức chuyên sâu về kiến trúc mạng viễn thông.

{

}

hacker_TQ.jpg

LightBasin (hay còn gọi là UNC1945) đã liên tục nhắm mục tiêu vào lĩnh vực viễn thông ở quy mô toàn cầu ít nhất từ năm 2016, sử dụng các công cụ tùy chỉnh và kiến thức chuyên sâu về kiến trúc mạng viễn thông”.

Theo báo cáo an ninh của các nhà nghiên cứu: “Những phát hiện gần đây càng thể hiện kiến thức sâu rộng của nhóm hacker về các giao thức viễn thông, bao gồm việc mô phỏng các giao thức này để tạo điều kiện cho máy chủ C2 và sử dụng các công cụ quét/bắt gói để tăng cường truy xuất thông tin cụ thể từ cơ sở hạ tầng thông tin di động, chẳng hạn như thông tin thuê bao và cuộc gọi metadata“.

Ban đầu, nhóm hacker đã xâm nhập một trong những công ty viễn thông bằng cách lợi dụng các máy chủ DNS bên ngoài (eDNS) là một phần của mạng GPRS (General Packet Radio Service).

eDNS được sử dụng trong việc chuyển vùng giữa các nhà khai thác di động. Hacker đã lợi dụng nó để kết nối trực tiếp đến và từ các mạng GPRS của các công ty viễn thông bị xâm nhập thông qua SSH và thông qua các mã độc nằm vùng trước đó.

Nhóm hacker có thể nhắm mục tiêu các hệ thống dành riêng cho viễn thông khác trong mạng GPRS như hệ thống Nền tảng cung cấp dịch vụ (SDP) và cung cấp SIM/IMEI, cũng như Hệ thống hỗ trợ hoạt động (OSS) và Đơn vị vận hành và bảo trì (OMU).

Các nhà nghiên cứu đã thu thập bằng chứng về việc hacker cố gắng dò đoán mật khẩu yếu cho bước đầu xâm nhập.

Sau khi xâm nhập các máy chủ eDNS, hacker triển khai backdoor SLAPSTICK, cho phép truy cập vào PAM (Pluggable Authentication Module). Bộ công cụ được LightBasin sử dụng để đánh cắp mật khẩu truy cập vào các hệ thống và triển khai các công cụ độc hại khác.

Sau đó, nhóm hacker truy cập nhiều máy chủ eDNS của các công ty viễn thông bị xâm nhập và sử dụng một công cụ khác là PingPong.

Các chuyên gia chỉ ra rằng các máy chủ eDNS được bảo vệ khỏi truy cập internet bên ngoài nói chung bằng tường lửa. Vì lý do này, hacker gửi lệnh đến PingPong thông qua yêu cầu ICMP từ một cơ sở hạ tầng mạng GPRS bị xâm nhập khác.

Sau đó, backdoor đặt một reverse shell TCP thành địa chỉ IP và cổng được chỉ định trong gói mà nó đã nhận được.

LightBasin cũng thêm các quy tắc iptables vào máy chủ eDNS để thiết lập quyền truy cập SSH của 5 công ty bị xâm nhập.

Ngoài ra, nhóm hacker đã sử dụng phiên bản trojan hóa của tiện ích iptables, loại bỏ đầu ra chứa hai octet đầu tiên khỏi địa chỉ IP của các công ty bị tấn công khác, khiến quản trị viên khó khăn hơn trong việc tìm các quy tắc đã sửa đổi.

Các nhà nghiên cứu nhận thấy rằng LightBasin sử dụng một kỹ thuật mới liên quan đến việc sử dụng phần mềm giả lập SGSN cho các kết nối C2 cũng liên quan đến backdoor mã nguồn mở TinyShell.

TinyShell là một backdoor Unix mã nguồn mở được sử dụng bởi nhiều mã độc; tuy nhiên, LightBasin đã kết hợp duy nhất công cụ này với trình giả lập SGSN thông qua một tập lệnh bash. Tập lệnh này liên tục chạy trên hệ thống, nhưng chỉ thực hiện các bước nhất định trong khoảng thời gian từ 2:15 đến 2:45 UTC mỗi ngày”.

Báo cáo cũng cung cấp thông tin về phần mềm độc hại và tiện ích bổ sung được nhóm hacker sử dụng cùng với một bộ Indicatiors of Compromise (IoCc).

Nguồn: Security Affairs

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !