Connect with us

Deutsch

Diese Hacker weichen Windows aus und greifen Linux an, um Telefondaten zu stehlen

Published

on

Eine heimliche Hackergruppe infiltriert Telekommunikationsunternehmen auf der ganzen Welt in einer Kampagne, die Forscher mit der Sammlung von Informationen und Cyberspionage in Verbindung gebracht haben.

Die Kampagne, die seit mindestens 2016 aktiv ist, wurde von Cybersicherheitsforschern von CrowdStrike detailliert beschrieben, die die Aktivität einer Gruppe zugeschrieben haben, die sie LightBasin nennen – auch bekannt als UNC1945.

Es wird vermutet, dass die offensive Hackergruppe seit 2019 mindestens 13 Telekommunikationsunternehmen mit dem Ziel kompromittiert hat, spezifische Informationen über die Mobilfunkinfrastruktur zu stehlen, darunter Teilnehmerinformationen und Anruf-Metadaten – und in einigen Fällen auch direkte Informationen darüber, welche Daten Smartphone-Nutzer senden und Empfangen über ihr Gerät.

„Die Art der Daten, auf die das LightBasin abzielt, stimmt mit Informationen überein, die für Signalaufklärungsorganisationen wahrscheinlich von erheblichem Interesse sind. Ihre Hauptmotive sind wahrscheinlich eine Kombination aus Überwachung, Geheimdienst und Spionageabwehr“, sagte Adam Meyers, SVP of Intelligence bei CrowdStrike ZDNet.

“Für jeden staatlich geförderten Gegner, der wahrscheinlich in Telekommunikationsunternehmen steckt, gibt es einen erheblichen nachrichtendienstlichen Wert”, fügte er hinzu.

Die genauen Ursprünge von LightBasin werden nicht bekannt gegeben, aber Forscher vermuten, dass der Autor der bei Angriffen verwendeten Tools über Kenntnisse der chinesischen Sprache verfügt – obwohl sie nicht so weit gehen, eine direkte Verbindung zu China oder anderen chinesischsprachigen Ländern zu suggerieren .

Die Angreifer setzen umfangreiche operative Sicherheitsmaßnahmen ein, um einer Entdeckung zu entgehen und kompromittieren Windows-Systeme in Zielnetzwerken nur, wenn es unbedingt erforderlich ist. Der Hauptfokus von LightBasin liegt auf Linux- und Solaris-Servern, die für den Betrieb der Telekommunikationsinfrastruktur von entscheidender Bedeutung sind – und wahrscheinlich weniger Sicherheitsmaßnahmen als Windows-Systeme aufweisen.

SEHEN: Eine erfolgreiche Strategie für Cybersicherheit (ZDNet-Sonderbericht)

Der anfängliche Zugriff auf Netzwerke erfolgt über externe DNS (eDNS)-Server, die Teil des General Packet Radio Service (GPRS)-Netzwerks sind, das verschiedene Telefonanbieter verbindet. Forscher entdeckten, dass LightBasin auf ein Opfer von einem zuvor kompromittierten Opfer zugegriffen hat. Es ist wahrscheinlich, dass der erste Zugang zu den ursprünglichen Opfern durch die Ausnutzung schwacher Passwörter mithilfe von Brute-Force-Angriffen erlangt wird.

Sobald sich LightBasin im Netzwerk befindet und einen von den Angreifern betriebenen Befehls- und Kontrollserver anruft, kann er TinyShell, eine Open-Source-Unix-Hintertür, die von vielen Cyberkriminellen verwendet wird, löschen. Durch die Kombination mit Emulationssoftware kann der Angreifer den Verkehr aus dem Telekommunikationsnetz tunneln.

Andere in Kampagnen eingesetzte Tools sind CordScan, ein Netzwerkscanner, der das Abrufen von Daten beim Umgang mit Kommunikationsprotokollen ermöglicht.

LightBasin ist in der Lage, dies mit vielen verschiedenen Telekommunikationsarchitekturen zu tun, was darauf hindeutet, was Forscher als “robuste Forschungs- und Entwicklungskapazitäten für die Ausrichtung auf herstellerspezifische Infrastrukturen, die häufig in Telekommunikationsumgebungen zu finden sind” und etwas “im Einklang mit einer Signalaufklärungsorganisation” – oder in anderen” beschreiben Worte, eine Spionagekampagne.

Trotz aller Bemühungen, versteckt zu bleiben, gibt es jedoch einige Elemente der Kampagnen, die bedeuten, dass sie entdeckt und identifiziert werden können, z. Es gibt auch Beweise dafür, dass dieselben Tools und Techniken in den Netzwerken kompromittierter Telekommunikationsanbieter verwendet werden, was auf eine einzelne Einheit hinter der gesamten Kampagne hindeutet.

Es wird angenommen, dass LightBasin immer noch aktiv auf Telekommunikationsanbieter auf der ganzen Welt abzielt.

„Angesichts der Verwendung maßgeschneiderter Tools von LightBasin und der fundierten Kenntnisse über Telekommunikationsnetzwerkarchitekturen haben wir genug gesehen, um zu erkennen, dass die Bedrohung, die LightBasin darstellt, nicht lokalisiert ist und Unternehmen außerhalb derer, mit denen wir zusammenarbeiten, beeinträchtigen könnte“, sagte Meyers.

„Der potenzielle Gewinn für diese Bedrohungsakteure in Bezug auf das Sammeln von Informationen und die Überwachung ist einfach zu groß, als dass sie weggehen könnten“, fügte er hinzu.

Um Netzwerke vor diesen und anderen Cyberangriffen zu schützen, wird Telekommunikationsunternehmen empfohlen, dafür zu sorgen, dass die für das GPRS-Netzwerk verantwortlichen Firewalls Regeln anwenden, die einen Zugriff auf Netzwerke nur über die erwarteten Protokolle ermöglichen.

„Die Absicherung einer Telekommunikationsorganisation ist keine einfache Aufgabe, insbesondere angesichts der partnerschaftlichen Natur solcher Netze und der Fokussierung auf hochverfügbare Systeme; jedoch mit den klaren Beweisen, dass ein hoch entwickelter Gegner diese Systeme missbraucht und das Vertrauen zwischen verschiedenen Organisationen ist es von größter Bedeutung, sich auf die Verbesserung der Sicherheit dieser Netzwerke zu konzentrieren”, heißt es in dem Blogbeitrag von CrowdStrike.

MEHR ZU CYBERSICHERHEIT

Continue Reading

Copyright © 2021 Meta Mag Inc.