Les pirates de LightBasin enfreignent 13 opérateurs de télécommunications en deux ans

Un groupe de piratage « très sophistiqué » appelé LightBasin a récolté des données de réseau mobile auprès d’au moins 13 entreprises de télécommunications au cours des deux dernières années, selon les chercheurs de CrowdStrike.

Le groupe, également connu sous le nom de UNC1945, a été révélé pour la première fois par des chercheurs de Mandiant en novembre 2020, qui ont montré que les pirates ciblaient les entreprises de conseil financier et professionnel en compromettant leurs fournisseurs de services gérés (MSP).

CrowdStrike a déclaré que le groupe utilise des outils personnalisés et une « connaissance approfondie » de l’architecture des réseaux de télécommunication pour collecter des données de valeur pour les agences de renseignement d’origine électromagnétique.

Actif depuis au moins 2016, LightBasin est passé à la cible des opérateurs de télécommunications en établissant des implants sur les systèmes Linux et Solaris, qui exécutent une combinaison d’infrastructures critiques pour le secteur.

Alors que CrowdStrike a déclaré qu’au moins 13 entreprises de télécommunications avaient été touchées par la campagne de deux ans du groupe, aucune des entreprises ciblées n’a été nommée.

« Des résultats récents mettent en évidence la connaissance approfondie de ce cluster des protocoles de télécommunications, y compris l’émulation de ces protocoles pour faciliter la commande et le contrôle et l’utilisation d’outils de numérisation / capture de paquets pour récupérer des informations très spécifiques de l’infrastructure de communication mobile, telles que les informations d’abonné et les métadonnées d’appel », a déclaré CrowdStrike dans un blog.

LightBasin est un « adversaire très sophistiqué » et que la nature des données ciblées, ainsi que la gamme de capacités montrées, sont cohérentes avec « une organisation de renseignement d’origine électromagnétique ayant besoin de répondre aux exigences de collecte dans un ensemble diversifié d’environnements cibles ».

Le vice-président principal de CrowdStrike, Adam Meyers, a déclaré à Reuters que les attaquants avaient pu récupérer discrètement des données spécifiques, ajoutant: « Je n’ai jamais vu un tel degré d’outils spécialement conçus. »

Bien que Reuters et d’autres médias aient lié les pirates à la Chine, le rapport CrowdStrike a noté que, bien que la cryptographie utilisée par le groupe repose sur des versions phonétiques pinyin des caractères chinois, « CrowdStrike Intelligence n’affirme pas un lien entre LightBasin et la Chine ».

Le rapport indique également que LightBasin a exercé une stratégie de sécurité opérationnelle (opsec) solide et qu’elle a réussi à compromettre initialement l’une des sociétés de télécommunications exploitant des serveurs DNS externes (eDNS) – qui font partie du réseau GPRS (General Packet Radio Service) qui jouent un rôle clé dans l’itinérance entre différents opérateurs mobiles – pour se connecter à d’autres réseaux compromis via SSH et via des implants précédemment établis.

« LightBasin a d’abord accédé au premier serveur eDNS via SSH de l’une des autres sociétés de télécommunications compromises, avec des preuves découvertes indiquant des tentatives de pulvérisation de mots de passe utilisant à la fois des mots de passe extrêmement faibles et des mots de passe tiers (par exemple huawei), contribuant potentiellement à faciliter la compromission initiale », a-t-il déclaré.

Par la suite, LightBasin a déployé sa porte dérobée Slapstick PAM sur le système pour siphonner les informations d’identification dans un fichier texte obscurci. Dans le cadre des premières opérations de mouvement latéral pour renforcer leur accès à travers le réseau, LightBasin a ensuite pivoté vers des systèmes supplémentaires pour mettre en place plus de portes dérobées Slapstick.

Il a également déclaré que la capacité de LightBasin à pivoter entre plusieurs entreprises découle des accords d’itinérance de ces entreprises, qui autorisent tout le trafic entre ces organisations sans identifier les protocoles réellement requis.

« En tant que tel, la recommandation clé ici est que toute entreprise de télécommunications s’assure que les pare-feu responsables du réseau GPRS ont des règles en place pour restreindre le trafic réseau aux seuls protocoles attendus, tels que DNS ou GTP », indique le rapport, ajoutant que la simple restriction du trafic réseau ne résoudra pas le problème si une entreprise a déjà été victime d’une intrusion.

« Dans ce cas, CrowdStrike recommande une enquête de réponse aux incidents qui comprend l’examen de tous les systèmes partenaires ainsi que de tous les systèmes gérés par l’organisation elle-même », a-t-il ajouté. « De même, si une organisation souhaite déterminer si elle a été victime de LightBasin, toute évaluation de compromis doit également inclure un examen de tous les systèmes susmentionnés. »

CrowdStrike a en outre recommandé que les opérateurs de télécommunications effectuent une évaluation des contrôles de sécurité en place avec des MSP tiers, car ses enquêtes révèlent généralement un manque d’outils de surveillance ou de sécurité sur les systèmes de réseau central.

Il a déclaré que tout plan de réponse aux incidents conçu par les entreprises de télécommunications devrait é exposer les rôles et les responsabilités des MSP, afin que les entreprises puissent acquérir des artefacts médico-légaux qui ne relèvent pas directement de leur propre gestion.