LightBasin黑客组织针对全球电信公司展开攻击活动

LightBasin又名UNC1945，自2016年以来开始活跃，一直在攻击世界各地的移动电信系统。自2019年以来，该组织入侵了十几家电信公司，在受害者系统部署SLAPSTICK、PingPong等恶意软件。

LightBasin组织至少从2016年开始活跃，主要针对Linux和Solaris服务器，仅在需要时与Windows系统交互。这可能是由于关键电信基础设施通常在Linux和Solaris操作系统上运行，并且Linux/Solaris系统的安全措施和监控解决方案相对宽松。LightBasin针对的电信系统包括外部DNS(eDNS)服务器、服务交付平台(SDP)系统和SIM/IMEI配置，这些都是通用分组无线业务(GPRS)网络的一部分，可实现移动运营商之间的漫游。

LightBasin组织首先通过来自另一家受感染公司网络的SSH连接访问了eDNS服务器。研究人员通过尝试目标系统的默认凭据，发现了LightBasin组织暴力破解系统的证据。在成功入侵之后，攻击者在系统上部署了SLAPSTICK PAM后门，以将凭据转移到一个混淆的文本文件中。SLAPSTICK是针对Solaris系统的可插入身份验证模块(PAM)后门程序，可根据硬编码密码访问系统。

通过对目标Solaris系统的后门访问，LightBasin可以窃取密码，以转向其他系统并通过相同的方法实现驻留。而后，LightBasin通过名为PingPong的植入程序访问了一家受感染电信公司的多个eDNS服务器。PingPong程序将通过ICMP请求接收命令，将TCP反向shell设置为数据包中指定的IP地址和端口。

研究人员发现，由PingPong植入程序创建的反向shell可以通过TCP端口53（DNS的默认端口）与其他电信公司的服务器进行通信。此外，LightBasin还在eDNS服务器上添加了iptables规则，允许来自五家受感染公司的SSH通信。攻击者还使用了iptables实用程序的木马化版本，取代了合法的iptables二进制文件，从而更难被识别。被木马化的iptables文件和合法iptables文件的详细信息如下：

LightBasin使用SGSN仿真软件和TinyShell后门来支持C2通信。SGSN本质上是GPRS网络接入点，允许攻击者在网络之间传输流量。TinyShell是一个被多个攻击者使用的开源Unix后门，LightBasin组织通过bash脚本将TinyShell与公开可用的SGSN模拟器sgsnemu2结合起来。

SGSN仿真软件用于在C2服务器和受感染主机之间通过特定GTP隧道传输TinyShell C2流量。研究人员以中等置信度认为，这种复杂的C2形式可能是一种重要操作安全（OPSEC）措施。

LightBasin在攻击活动中使用的其他恶意软件和程序包括：

CordScan：网络扫描和数据包捕获实用程序，允许进行指纹识别和检索附加数据。

SIGTRANslator：一个ELF二进制文件，可以通过电信特定协议(SIGTRAN)发送和接收数据。

Fast Reverse Proxy：开源反向代理工具；

Microsocks Proxy：开源轻量级SOCKS5代理服务器；

ProxyChains：将代理链接在一起并强制网络流量通过所述代理链。

研究人员认为LightBasin组织是一个有针对性的攻击者，该组织将继续以电信部门为目标发起攻击活动。目前没有足够的证据将该组织的活动与特定的国家联系起来。鉴于电信公司内部可能包含重要的情报价值，保护电信基础设施至关重要。