2min

Hackergroepering LightBasin probeert al enige jaren wereldwijd met geavanceerde aanvallen telecomgegevens te stelen bij telecomoperators.

Volgens onderzoek van CrowdStrike probeert de LightBasin-hackgroep sinds 2016 wereldwijd diverse telecomgegevens rechtstreeks af te tappen van telecomoperators. Het gaat hierbij vooral om belgegevens, sms-berichten en andere relevante metadata. De onderzoekers ontdekten dat de hackers sinds 2019 in ieder geval erin zijn geslaagd wereldwijd in 13 verschillende telecomoperators te hacken. Welke operators dit zijn, is niet bekend.

De hackers hebben volgens de securityspecialisten mogelijk banden met China, aangezien de aangetroffen hackmethoden een kennis van de Chinese taal nodig hebben. CrowdStrike geeft expliciet aan dat het niet de Chinese overheid verdenkt achter LightBasin te zitten.

Gedegen kennis van telecomnetwerken

De zeer geavanceerde hackmethoden die op telecomnetwerken worden uitgevoerd, laten volgens de onderzoekers wel zien dat de hackers gedegen kennis van telecomnetwerken hebben. Met hun aanvallen voeren de hackers zogenoemde OPSEC-maatregelen uit. Zij richten zich met hun aanvallen specifiek op Linux- en Solaris-servers met daarbij een focus op bepaalde telecomsystemen. Windows-systemen worden alleen aangevallen, wanneer nodig.

De aangevallen Linux- en Solaris-servers zijn vaak essentieel voor het draaien van belangrijke onderdelen van een telecominfrastructuur. Daarnaast zijn dit soort servers vaak minder goed beveiligd en beschikken deze systemen over minder monitoringfunctionaliteit in vergelijking met op Windows gebaseerde systemen.

Aanvalsmethode

Uit het onderzoek blijkt dat LightBasin bij één van de gehackte telecomoperators wist binnen te komen via externe Domain Name Servers (eDNS). Deze eDNS-servers zijn een onderdeel van het General Packet Radio Service (GPRS)-radionetwerk en spelen een belangrijke rol in het roamen tussen verschillende mobiele operators. Via de eDNS-servers slaagden de hackers erin een directe verbinding te maken van en naar andere gekraakte GPRS-netwerken via SSH en via eerdere ‘TinyShell implants’ in de netwerken. Ook gebruikten de hackers voor deze infiltraties een publiek beschikbare Serving GPRS Support Node (SGSN) emulator.

Andere gebruikte malware-toepassingen waren onder meer CordScan, SIGTRANslator, Fast Reverse Proxy, Microsocks Proxy en ProxyChains. Ook gebruikten de hackers nog zelfontwikkelde tools als STEELCORGI en SLAPSTICK.

Maatregelen

De onderzoekers verwachten dat hackaanvallen als die van LightBasin vaker voor zullen komen. Zij adviseren telecomoperators dat voor het GPRS-netwerk verantwoordelijke firewalls regels hebben die ervoor zorgen dat het alleen benodigde netwerkverkeer -en niet al het netwerkverkeer dat vaak nu nog gewoon is- wordt toegestaan, meer specifiek alleen voor DNS of GTP.