导读 新研究发现,威胁行为者一直在通过隐秘、复杂的活动攻击世界各地的电信运营商。BleepingComputer的一份报告引用了化名为HaxRob的安全研究人
新研究发现,威胁行为者一直在通过隐秘、复杂的活动攻击世界各地的电信运营商。
BleepingComputer的一份报告引用了化名为HaxRob的安全研究人员的发现,该研究人员发现了两个版本的以前未知的后门,并于2023年底上传到VirusTotal。该后门名为GTPDOOR,显然,它的目标是“非常旧的RedHatLinux版本,表明目标是过时的”。
据称,该后门对的是SGSN、GGSN和P-GW,这些系统与GPRS漫游交换(GRX)服务相邻。这些服务可让攻击者直接访问电信的核心网络,从而收集敏感的私人信息。借助GTPDOOR,攻击者可以为C2通信设置新的加密密钥,将任意数据写入名为“system.conf”的本地文件,执行任意shell命令并将输出返回给C2,指定哪些IP地址可以与受感染的主机通信,提取ACL列表,最后重置恶意软件。
研究人员将该后门归咎于LightBasin,据称是中国威胁行为者,也称为UNC1945。它于2016年首次被网络安全研究人员Mandiant发现,从那时起,人们就观察到它在全球范围内对电信行业。
据称,该组织对电信网络架构和协议有着深入的了解,并模拟了其中一些协议,以从移动通信基础设施中窃取“高度特定的信息”(例如,用户信息和呼叫元数据)。
CrowdStrike的研究人员在2021年末的一份报告中表示,LightBasin在两年内成功攻击了13家全球电信公司。