Un adversaire hautement sophistiqué nommé LightBasin a été identifié comme étant à l’origine d’une série d’attaques ciblant le secteur des télécommunications dans le but de collecter des « informations très spécifiques » à partir de l’infrastructure de communication mobile, telles que les informations sur les abonnés et les métadonnées d’appel.

« La nature des données ciblées par l’acteur s’aligne sur des informations susceptibles d’être d’un intérêt significatif pour les organisations de renseignement électromagnétique », chercheurs de la société de cybersécurité CrowdStrike mentionné dans une analyse publiée mardi.

Connu pour être actif depuis 2016, LightBasin (alias UNC1945) aurait compromis 13 entreprises de télécommunications à travers le monde depuis 2019 en tirant parti d’outils personnalisés et de leur connaissance approfondie des protocoles de télécommunications pour falsifier les défenses des organisations. L’identité des entités ciblées n’a pas été divulguée, et les conclusions n’ont pas non plus établi de lien entre l’activité du cluster et un pays spécifique.

En effet, un incident récent enquêté par CrowdStrike a révélé que l’acteur d’intrusion ciblé profitait de serveurs DNS externes (eDNS) pour se connecter directement aux réseaux GPRS d’autres sociétés de télécommunications compromises via SSH et via des portes dérobées précédemment établies telles que PingPong. La compromission initiale est facilitée à l’aide d’attaques par pulvérisation de mots de passe, conduisant par conséquent à l’installation de logiciels malveillants SLAPSTICK pour voler les mots de passe et pivoter vers d’autres systèmes du réseau.

D’autres indications basées sur les données de télémétrie montrent la capacité de l’acteur d’intrusion ciblé à émuler les points d’accès du réseau GPRS afin d’effectuer des communications de commande et de contrôle en conjonction avec une porte dérobée basée sur Unix appelée TinyShell, permettant ainsi à l’attaquant de tunneler le trafic à travers le réseau de télécommunications .

Parmi les multiples outils de l’arsenal de logiciels malveillants de LightBasin, il y a un utilitaire d’analyse du réseau et de capture de paquets appelé « CordScan » qui permet aux opérateurs de prendre les empreintes digitales des appareils mobiles, ainsi que « SIGTRANslator », un binaire ELF qui peut transmettre et recevoir des données via le SIGTRAN suite de protocoles, qui est utilisée pour acheminer la signalisation du réseau téléphonique public commuté (RTPC) sur les réseaux IP.

« Il n’est pas surprenant que les serveurs aient besoin de communiquer entre eux dans le cadre d’accords d’itinérance entre les sociétés de télécommunications ; cependant, la capacité de LightBasin à pivoter entre plusieurs sociétés de télécommunications découle de l’autorisation de tout le trafic entre ces organisations sans identifier les protocoles qui sont réellement requis,  » a noté CrowdStrike.

« En tant que tel, la principale recommandation ici est que toute entreprise de télécommunications s’assure que les pare-feu responsables du réseau GPRS ont des règles en place pour restreindre le trafic réseau aux seuls protocoles attendus, tels que DNS ou GTP », a ajouté la société.

Les résultats interviennent également au moment où la société de cybersécurité Symantec a divulgué les détails d’un groupe de menaces persistantes avancées (APT) jamais vu auparavant, surnommé « Moissonneuse« , qui est liée à une campagne de vol d’informations visant les secteurs des télécommunications, du gouvernement et des technologies de l’information en Asie du Sud depuis juin 2021 à l’aide d’un implant personnalisé appelé « Graphon ».