Um novo grupo de ciberespionagem vinculado à China foi identificado como responsável por uma série de ciberataques direcionados a entidades de telecomunicações no Sul da Ásia e África desde pelo menos 2020, com o objetivo de facilitar a coleta de inteligência.
A empresa de cibersegurança CrowdStrike está monitorando o adversário sob o nome de Liminal Panda, descrevendo-o como possuidor de profundo conhecimento sobre redes de telecomunicações, os protocolos que sustentam as telecomunicações e as várias interconexões entre fornecedores.
O portfólio de malware do ator de ameaças inclui ferramentas personalizadas que facilitam o acesso clandestino, command-and-control (C2) e exfiltração de dados.
"Liminal Panda usou servidores de telecom comprometidos para iniciar intrusões em mais fornecedores em outras regiões geográficas", disse a equipe de Counter Adversary Operations da empresa em uma análise de terça-feira(19).
O adversário conduz elementos de sua atividade de intrusão usando protocolos que suportam telecomunicações móveis, como emular protocolos de sistema global para comunicações móveis (GSM) para habilitar C2, e desenvolver ferramentas para recuperar informações de assinantes móveis, metadados de chamadas e mensagens de texto (SMS).
É importante notar que alguns aspectos da atividade de intrusão foram documentados pela empresa de cibersegurança em outubro de 2021, atribuindo-a então a um diferente cluster de ameaça apelidado de LightBasin (também conhecido como UNC1945), que também tem um histórico de direcionamento a entidades de telecomunicações desde pelo menos 2016.
A CrowdStrike observou que sua revisão extensiva da campanha revelou a presença de um ator de ameaça completamente novo, e que a má atribuição há três anos foi o resultado de múltiplas equipes de hackers conduzindo suas atividades maliciosas no que disse ser uma "rede comprometida altamente contestada".
Algumas das ferramentas personalizadas em seu arsenal são SIGTRANslator, CordScan e PingPong, que vêm com as seguintes capacidades:
-SIGTRANslator, um binário ELF Linux projetado para enviar e receber dados usando protocolos SIGTRAN
-CordScan, uma utilidade de varredura de rede e captura de pacotes contendo lógica embutida para identificar e recuperar dados relacionados a protocolos de telecomunicações comuns de infraestruturas como o Nó de Suporte GPRS de Serviço (SGSN)
-PingPong, um backdoor que escuta requisições mágicas de eco ICMP entrantes e estabelece uma conexão de shell reversa TCP para um endereço IP e porta especificados dentro do pacote
Os ataques do Liminal Panda observaram a infiltração de servidores DNS externos (eDNS) usando password spraying de senhas extremamente fracas e focadas em terceiros, com a equipe de hackers usando TinyShell em conjunto com um emulador SGSN disponível publicamente chamado sgsnemu para comunicações C2.
"TinyShell é um backdoor Unix open-source usado por vários adversários", disse a CrowdStrike.
SGSNs são essencialmente pontos de acesso à rede GPRS, e o software de emulação permite ao adversário tunelar tráfego via esta rede de telecomunicações. O objetivo final desses ataques é coletar telemetria de rede e informações de assinantes ou violar outras entidades de telecomunicações, aproveitando os requisitos de conexão de interoperação do setor.
"A atividade de intrusão conhecida do Liminal Panda tipicamente abusou das relações de confiança entre os provedores de telecomunicações e as lacunas nas políticas de segurança, permitindo ao adversário acessar infraestrutura core de hosts externos", disse a empresa.
A divulgação acontece enquanto provedores de telecomunicações dos EUA como AT&T, Verizon, T-Mobile e Lumen Technologies se tornam alvo de outro grupo de hackers com vínculos com a China apelidado de Salty Typhoon.
Se algo, esses incidentes servem para destacar como as telecomunicações e outros provedores de infraestrutura crítica são vulneráveis a comprometimentos por atacantes patrocinados por estados.
A empresa francesa de cibersegurança Sekoia caracterizou o ecossistema chinês ofensivo de cyber como uma empresa conjunta que inclui unidades apoiadas pelo governo como o Ministério da Segurança do Estado (MSS) e o Ministério da Segurança Pública (MPS), atores civis e entidades privadas às quais o trabalho de pesquisa de vulnerabilidade e desenvolvimento de conjunto de ferramentas é terceirizado.
"APT com vínculos à China provavelmente são uma mistura de atores privados e estatais cooperando para conduzir operações, em vez de serem estritamente associados a unidades únicas", disse, apontando os desafios na atribuição.
Isso varia desde a condução de operações, a venda de informações roubadas ou acesso inicial a dispositivos comprometidos para fornecer serviços e ferramentas para lançar ataques.
As relações entre esses jogadores militares, institucionais e civis são complementares e fortalecidas pela proximidade dos indivíduos parte desses diferentes jogadores e pela política do PCC.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...