Provider di servizi telco sotto attacco dal 2019

Una sofisticata tecnica di attacco ha permesso a un gruppo di cyber criminali di attaccare con successo aziende di telecomunicazioni per esfiltrare informazioni sensibili.

Business

Dal 2019 si sono verificati almeno 13 attacchi informatici contro servizi di telecomunicazioni. I ricercatori per la sicurezza di CrowdStrike ritengono che il responsabile sia il gruppo LightBasin, noto anche come UNC1945, attivo dal 2016. È ritenuto un avversario altamente sofisticato, che ha l'obiettivo di esfiltrare dall'infrastruttura delle comunicazioni mobile "informazioni altamente specifiche" quali dati sugli abbonati e metadati delle chiamate.

Secondo i ricercatori, l'attività di LightBasin sarebbe fortemente mirata al settore delle telecomunicazioni, tanto da riconoscere agli attaccanti l'uso di strumenti personalizzati e una conoscenza approfondita dei protocolli di telecomunicazione. Sembra, infatti che questo gruppo padroneggi l'emulazione di questi protocolli per facilitare le attività di comando e controllo.

Inoltre, LightBasin farebbe uso di strumenti di scansione e acquisizione di pacchetti per recuperare dall'infrastruttura di comunicazione mobile dati che potrebbero essere di grande interesse per le organizzazioni di intelligence. Secondo CrowdStrike, LightBasin continuerà a colpire il settore delle telecomunicazioni impiegando tattiche, tecniche e procedure (TTP) mirate, e colpendo obiettivi verticali.


La cronaca di un attacco

I ricercatori hanno collezionato le prove che addossano a questo gruppo la compromissione di almeno 13 società di telecomunicazioni in tutto il mondo dal 2019 in poi. Di tali aziende non sono stati divulgati né i nomi né l'entità delle informazioni sottratte. Tuttavia, ci sono informazioni circa le tattiche impiegate. In un recente incidente indagato da CrowdStrike, gli attaccanti hanno sfruttato i server DNS esterni (eDNS) per connettersi direttamente da e verso le reti GPRS di altre società di telecomunicazioni compromesse tramite SSH e attraverso backdoor precedentemente stabilite.

La compromissione iniziale è stata facilitata da attacchi di password-spraying. Successivamente, LightBasin ha distribuito la backdoor SLAPSTICK PAM per esfiltrare le credenziali e potersi muovere all'interno della rete, quindi sono iniziati i movimenti laterali.

I dati di telemetria mostrano la capacità degli attaccanti di emulare i punti di accesso alla rete GPRS in modo da eseguire attività di comando e controllo in combinazione con una backdoor basata su Unix, chiamata TinyShell. Così facendo l'attaccante ha potuto tunnelizzare il traffico attraverso la rete di telecomunicazioni.

Quello che sorprende gli esperti di sicurezza è la capacità di LightBasin di svolgere questa attività passando inosservati. A seguito della ricerca, CrowdStrike raccomanda alle telco di sincerarsi che sui firewall responsabili della rete GPRS siano attivate regole per limitare il traffico di rete solo ai protocolli previsti, come DNS o GTP. Gli Indicatori di Compromissione sono pubblicati a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Controllo degli accessi e degli account

Speciale

Competenze per la cyber security

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Calendario Tutto

Dic 14
#LetsTalkIoT - IoT standards, regulations and best practices

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori