Los actores de amenazas han estado apuntando a operadores de telecomunicaciones de todo el mundo en una campaña de espionaje sofisticada y sigilosa, según una nueva investigación.
un informe de pitidocomputadora cita los hallazgos de un investigador de seguridad con el alias HaxRob que encontró dos versiones de una puerta trasera previamente desconocida, cargada en VirusTotal a finales de 2023. La puerta trasera se llama GTPDOOR y aparentemente apunta a una “versión muy antigua de Red Hat Linux, lo que indica una objetivo obsoleto”.
Se decía que la puerta trasera estaba dirigida a SGSN, GGSN y P-GW, sistemas adyacentes al servicio GPRS roaming eXchange (GRX). Estos servicios pueden otorgar a los atacantes acceso directo a la red central de una telecomunicaciones, lo que, a su vez, les permitiría recopilar información privada y confidencial. Con la ayuda de GTPDOOR, los atacantes podrían establecer una nueva clave de cifrado para las comunicaciones C2, escribir datos arbitrarios en un archivo local llamado «system.conf», ejecutar comandos de shell arbitrarios y devolver la salida al C2, especificar qué direcciones IP pueden comunicarse con el host comprometido, extraer la lista ACL y, finalmente, restablecer el malware.
Vuelve LightBasin
Las puertas traseras “no fueron detectadas en gran medida” por los motores antivirus, pitidocomputadora notas.
El investigador atribuyó la puerta trasera a LightBasin, supuestamente un actor de amenazas chino, también conocido como UNC1945. Fue detectado por primera vez por los investigadores de ciberseguridad Mandiant en 2016 y, desde entonces, se ha observado que apunta al sector de las telecomunicaciones a escala global.
Se dijo que el grupo tiene un conocimiento profundo de la arquitectura y los protocolos de las redes de telecomunicaciones y emuló algunos de ellos para robar “información muy específica” de la infraestructura de comunicaciones móviles (por ejemplo, información de suscriptores y metadatos de llamadas).
En un informe de finales de 2021, los investigadores de CrowdStrike dijeron que LightBasin logró atacar 13 empresas de telecomunicaciones globales en dos años.
Para defenderse contra tales ataques, los investigadores coinciden, las empresas deben estar atentas a actividades inusuales de sockets sin formato, nombres de procesos inesperados e indicadores de malware como procesos de syslog duplicados.