LightBasin ：2年入侵13家電信公司的幕后黑手浮出水面

10月20日，網絡安全公司賽門鐵克剛披露了一個針對南亞電信公司的神秘APT（高級持續威脅）組織，一個名為 LightBasin 的黑客組織被確定為針對電信行業發起一系列攻擊的幕后黑手，其目標是從移動通信基礎設施中收集“高度特定信息”，例如用戶信息和呼叫元數據。

網絡安全公司 CrowdStrike 研究人員發表分析報告稱：LightBasin 又名UNC1945，這一組織從2016年起開始活躍，據統計自2019年以來， LightBasin 利用自定義工具通過電信協議中的防御漏洞攻擊了全球13家電信公司。

CrowdStrike 調查發現，攻擊者利用外部DNS (eDNS) 服務器通過 SSH 和先前建立的后門（如 PingPong）直接連接到其他電信公司的 GPRS 網絡，在密碼噴射攻擊的幫助下安裝惡意軟件，以竊取其他網絡系統的密碼。

攻擊者能夠模擬GPRS網絡接入點，以便與先前建立的后門一起執行命令通過電信網絡傳輸流量控制通信。

LightBasin 惡意軟件庫中有一個名為“CordScan”的網絡掃描和數據包捕獲實用程序，它能允許運營商對移動設備進行指紋識別及“SIGTRANslator“（一種可以通過衛星定位系統協議套件傳輸和數據接收的ELF二進制文件，用來通過IP網絡承載公共交換電話網信令）。

CrowdStrike 指出，攻擊者正是借助電信公司之間的漫游協議需要服務器相互通信這點，打通了組織間流量后能在多家電信公司之間進行切換。為避免類似攻擊，CrowdStrike 建議電信公司制定 GPRS 網絡防火墻規則，在 DNS 或 GTP等先前協議上限制網絡流量。