تحقیقات جدید نشان می دهد که عوامل تهدید اپراتورهای مخابراتی در سراسر جهان را در یک کمپین جاسوسی پیچیده و مخفیانه هدف قرار داده اند.

گزارشی از BleepingComputer به یافته‌های یک محقق امنیتی با نام مستعار HaxRob اشاره می‌کند که دو نسخه از یک درب پشتی ناشناخته را پیدا کرد که در اواخر سال 2023 در VirusTotal آپلود شد. درب پشتی GTPDOOR نامیده می‌شود و ظاهراً یک لینوکس بسیار قدیمی Red Hat را هدف قرار می‌دهد. نسخه، نشان دهنده یک هدف قدیمی است.

گفته می شود که درب پشتی SGSN، GGSN و P-GW را هدف قرار می دهد، سیستم هایی که در مجاورت سرویس تبادل رومینگ GPRS (GRX) هستند. این سرویس‌ها می‌توانند به مهاجمان دسترسی مستقیم به شبکه اصلی مخابراتی را بدهند که به نوبه خود به آنها اجازه می‌دهد اطلاعات حساس و خصوصی را جمع‌آوری کنند. با کمک GTPDOOR، مهاجمان می توانند یک کلید رمزگذاری جدید برای ارتباطات C2 تنظیم کنند، داده های دلخواه را در یک فایل محلی به نام "system.conf" بنویسند، دستورات پوسته دلخواه را اجرا کنند و خروجی را به C2 برگردانند، مشخص کنند که کدام آدرس IP می تواند با میزبان در معرض خطر ارتباط برقرار کنید، فهرست ACL را بکشید و در نهایت بدافزار را بازنشانی کنید.

LightBasin برمی گردد

BleepingComputer خاطرنشان می کند که درهای پشتی توسط موتورهای آنتی ویروس "تا حد زیادی ناشناخته" بودند.

محقق این درب پشتی را به LightBasin نسبت داد که ظاهراً یک عامل تهدید چینی است که با نام UNC1945 نیز شناخته می‌شود. اولین بار توسط محققان امنیت سایبری Mandiant در سال 2016 مشاهده شد و از آن زمان مشاهده شد که بخش مخابرات را در مقیاس جهانی هدف قرار می دهد.

گفته شد که این گروه دانش عمیقی از معماری شبکه‌های مخابراتی و پروتکل‌ها دارد و برخی از آنها را برای سرقت «اطلاعات بسیار خاص» از زیرساخت‌های ارتباطات سیار (مثلاً اطلاعات مشترکین و فراداده تماس) تقلید کرده است.

در گزارشی از اواخر سال 2021، محققان CrowdStrike گفتند که LightBasin موفق شد در مدت دو سال به 13 مخابرات جهانی حمله کند.

محققان موافقند برای دفاع در برابر چنین حملاتی، کسب‌وکارها باید مراقب فعالیت‌های غیرمعمول سوکت خام، نام‌های فرآیند غیرمنتظره و شاخص‌های بدافزار مانند فرآیندهای ثبت سیستم تکراری باشند.

بیشتر از TechRadar Pro