Wprost od operatora

Eksperci ds. cyberbezpieczeństwa z amerykańskiej firmy CrowdStrike informują o aktywności wyspecjalizowanej grupy włamywaczy sieciowych. Cyberprzestępcy z zespołu LightBasin, znanego również jako UNC1945, od 2020 roku pozyskiwali dane klientów z sieci co najmniej 13 dostawców usług telekomunikacyjnych.

Działalność grupy została wykryta w listopadzie 2020 roku przez badaczy z firmy Mandiant. Naukowcy zauważyli ukierunkowanie hakerów na dostawców usług zarządzanych IT (MSP) dla firm z branży finansowej i konsultingowej.

Cechą charakterystyczną działalności włamywaczy jest profesjonalizm i posługiwanie się nietypowymi narzędziami. Zwraca uwagę wiedza na temat architektury sieci telekomunikacyjnych, a także zdolność do zbierania danych typowa dla agencji wywiadowczych.

CrowdStrike pisze na łamach bloga, że LightBasin są aktywni od co najmniej 2016 roku. Hakerzy wprowadzają w sieciach operatorów „implanty" do systemów Linux i Solaris, na których bazuje infrastruktura krytyczna sektora operatorskiego. Do włamań i pozyskiwania danych wykorzystują rozległą wiedzę na temat protokołów telekomunikacyjnych i ich emulatorów. Pozwala im to na sprawne używanie narzędzi do skanowania sieci i przechwytywania pakietów. Pobierają w ten sposób z infrastruktury mobilnej informacje o abonentach i metadane połączeń.

Wiceprezes firmy CrowdStrike, Adam Meyers, powiedział agencji Reutera, że atakujący sieci operatorów dyskretnie pozyskują dane za pomocą narzędzi zaprojektowanych w bardzo wyrafinowany sposób. Umiejętnie wykorzystują też braki w zabezpieczeniach połączeń międzyoperatorskich.

W zaleceniach dla dostawców eksperci ds. cyberbezpieczeństwa wymieniają konieczność przeprowadzenia audytów wszystkich systemów wewnętrznych, a także partnerskich, na przykład należących do dostawców usług płatniczych.

fot: Pixabay