Se ha atribuido a un nuevo grupo de ciberespionaje vinculado a China estar detrás de una serie de ciberataques dirigidos a entidades de telecomunicaciones en el sur de Asia y África desde al menos 2020 con el objetivo de permitir la recopilación de inteligencia.
La empresa de ciberseguridad CrowdStrike está rastreando al adversario bajo el nombre Panda liminaldescribiéndolo como poseedor de un conocimiento profundo sobre las redes de telecomunicaciones, los protocolos que sustentan las telecomunicaciones y las diversas interconexiones entre proveedores.
La cartera de malware del actor de amenazas incluye herramientas personalizadas que facilitan el acceso clandestino, el comando y control (C2) y la filtración de datos.
“Liminal Panda ha utilizado servidores de telecomunicaciones comprometidos para iniciar intrusiones en otros proveedores en otras regiones geográficas”, dijo el equipo de Operaciones Contra Adversarios de la compañía en un análisis del martes.
“El adversario lleva a cabo elementos de su actividad de intrusión utilizando protocolos que soportan las telecomunicaciones móviles, como la emulación de protocolos del sistema global para comunicaciones móviles (GSM) para habilitar C2 y el desarrollo de herramientas para recuperar información de suscriptores móviles, metadatos de llamadas y mensajes de texto (SMS). “.
Vale la pena señalar que algunos aspectos de la actividad de intrusión fueron documentados por la compañía de ciberseguridad en octubre de 2021, atribuyéndolos luego a un grupo de amenazas diferente denominado LightBasin (también conocido como UNC1945), que también tiene un historial de atacar a entidades de telecomunicaciones desde al menos 2016. .
CrowdStrike señaló que su extensa revisión de la campaña reveló la presencia de un actor de amenazas completamente nuevo, y que la atribución errónea de hace tres años fue el resultado de múltiples equipos de hackers que llevaron a cabo sus actividades maliciosas en lo que dijo que era una “red comprometida altamente cuestionada”.
Algunas de las herramientas personalizadas de su arsenal son SIGTRANslator, CordScan y PingPong, que vienen con las siguientes capacidades:
- SIGTRANslator, un binario ELF de Linux diseñado para enviar y recibir datos utilizando protocolos SIGTRAN
- CordScan, una utilidad de captura de paquetes y escaneo de red que contiene lógica incorporada para tomar huellas dactilares y recuperar datos relacionados con protocolos de telecomunicaciones comunes desde infraestructuras como el Nodo de soporte de servicio GPRS (SGSN)
- PingPong, una puerta trasera que escucha las solicitudes de eco ICMP mágicas entrantes y configura una conexión TCP inversa a una dirección IP y un puerto especificados dentro del paquete.
Se han observado ataques de Liminal Panda infiltrándose en servidores DNS externos (eDNS) utilizando contraseñas extremadamente débiles y centradas en terceros, y el equipo de piratería utiliza TinyShell junto con un emulador SGSN disponible públicamente llamado sgsnemu para comunicaciones C2.
“TinyShell es una puerta trasera Unix de código abierto utilizada por múltiples adversarios”, dijo CrowdStrike. “Los SGSN son esencialmente puntos de acceso a la red GPRS, y el software de emulación permite al adversario canalizar el tráfico a través de esta red de telecomunicaciones”.
El objetivo final de estos ataques es recopilar telemetría de red e información de suscriptores o violar otras entidades de telecomunicaciones aprovechando los requisitos de conexión de interoperación de la industria.
“La conocida actividad de intrusión de Liminal Panda generalmente ha abusado de las relaciones de confianza entre proveedores de telecomunicaciones y ha creado brechas en las políticas de seguridad, permitiendo al adversario acceder a la infraestructura central desde hosts externos”, dijo la compañía.
La divulgación se produce cuando proveedores de telecomunicaciones estadounidenses como AT&T, Verizon, T-Mobile y Lumen Technologies se han convertido en el objetivo de otro grupo de piratería del nexo con China denominado Salt Typhoon. En todo caso, estos incidentes sirven para resaltar cómo las telecomunicaciones y otros proveedores de infraestructura crítica son vulnerables al compromiso de ataques patrocinados por el estado.
La empresa francesa de ciberseguridad Sekoia ha caracterizado el ecosistema cibernético ofensivo chino como una empresa conjunta que incluye unidades respaldadas por el gobierno, como el Ministerio de Seguridad del Estado (MSS) y el Ministerio de Seguridad Pública (MPS), actores civiles y entidades privadas a quienes Se subcontrata el trabajo de investigación de vulnerabilidades y desarrollo de conjuntos de herramientas.
“Es probable que las APT del nexo con China sean una mezcla de actores privados y estatales que cooperan para realizar operaciones, en lugar de estar estrictamente asociadas con unidades individuales”, dijo, señalando los desafíos en la atribución.
“Abarca desde la realización de operaciones, la venta de información robada o el acceso inicial a dispositivos comprometidos hasta la prestación de servicios y herramientas para lanzar ataques. Las relaciones entre estos actores militares, institucionales y civiles son complementarias y fortalecidas por la proximidad de las partes individuales. de estos diferentes actores y la política del PCC”.