Dal 2019 si sono verificati almeno 13 attacchi informatici contro servizi di telecomunicazioni. I ricercatori per la sicurezza di CrowdStrike ritengono che il responsabile sia il gruppo LightBasin, noto anche come UNC1945, attivo dal 2016. È ritenuto un avversario altamente sofisticato, che ha l'obiettivo di esfiltrare dall'infrastruttura delle comunicazioni mobile "informazioni altamente specifiche" quali dati sugli abbonati e metadati delle chiamate.

Secondo i ricercatori, l'attività di LightBasin sarebbe fortemente mirata al settore delle telecomunicazioni, tanto da riconoscere agli attaccanti l'uso di strumenti personalizzati e una conoscenza approfondita dei protocolli di telecomunicazione. Sembra, infatti che questo gruppo padroneggi l'emulazione di questi protocolli per facilitare le attività di comando e controllo.

Inoltre, LightBasin farebbe uso di strumenti di scansione e acquisizione di pacchetti per recuperare dall'infrastruttura di comunicazione mobile dati che potrebbero essere di grande interesse per le organizzazioni di intelligence. Secondo CrowdStrike, LightBasin continuerà a colpire il settore delle telecomunicazioni impiegando tattiche, tecniche e procedure (TTP) mirate, e colpendo obiettivi verticali.

La cronaca di un attacco

I ricercatori hanno collezionato le prove che addossano a questo gruppo la compromissione di almeno 13 società di telecomunicazioni in tutto il mondo dal 2019 in poi. Di tali aziende non sono stati divulgati né i nomi né l'entità delle informazioni sottratte. Tuttavia, ci sono informazioni circa le tattiche impiegate. In un recente incidente indagato da CrowdStrike, gli attaccanti hanno sfruttato i server DNS esterni (eDNS) per connettersi direttamente da e verso le reti GPRS di altre società di telecomunicazioni compromesse tramite SSH e attraverso backdoor precedentemente stabilite.

La compromissione iniziale è stata facilitata da attacchi di password-spraying. Successivamente, LightBasin ha distribuito la backdoor SLAPSTICK PAM per esfiltrare le credenziali e potersi muovere all'interno della rete, quindi sono iniziati i movimenti laterali.

I dati di telemetria mostrano la capacità degli attaccanti di emulare i punti di accesso alla rete GPRS in modo da eseguire attività di comando e controllo in combinazione con una backdoor basata su Unix, chiamata TinyShell. Così facendo l'attaccante ha potuto tunnelizzare il traffico attraverso la rete di telecomunicazioni.

Quello che sorprende gli esperti di sicurezza è la capacità di LightBasin di svolgere questa attività passando inosservati. A seguito della ricerca, CrowdStrike raccomanda alle telco di sincerarsi che sui firewall responsabili della rete GPRS siano attivate regole per limitare il traffico di rete solo ai protocolli previsti, come DNS o GTP. Gli Indicatori di Compromissione sono pubblicati a questo link.