Çin bağlantılı yeni bir siber casusluk grubunun, istihbarat toplanmasını sağlamak amacıyla en az 2020’den bu yana Güney Asya ve Afrika’daki telekomünikasyon kuruluşlarını hedef alan bir dizi hedefli siber saldırının arkasında olduğu düşünülüyor.
Siber güvenlik şirketi CrowdStrike, rakibini bu isim altında takip ediyor Sınır Pandasıtelekomünikasyon ağları, telekomünikasyonu destekleyen protokoller ve sağlayıcılar arasındaki çeşitli bağlantılar hakkında derin bilgiye sahip olmak olarak tanımlıyor.
Tehdit aktörünün kötü amaçlı yazılım portföyü, gizli erişimi, komuta ve kontrolü (C2) ve veri sızmasını kolaylaştıran özel araçlar içerir.
Şirketin Karşı Düşman Operasyonları ekibi Salı günü yaptığı bir analizde, “Liminal Panda, diğer coğrafi bölgelerdeki diğer sağlayıcılara izinsiz giriş başlatmak için tehlikeye atılmış telekom sunucularını kullandı.” dedi.
“Düşman, C2’yi etkinleştirmek için mobil iletişim (GSM) protokolleri için küresel sistemi taklit etmek ve mobil abone bilgilerini, çağrı meta verilerini ve metin mesajlarını (SMS) almak için araçlar geliştirmek gibi mobil telekomünikasyonu destekleyen protokolleri kullanarak izinsiz giriş faaliyetlerinin unsurlarını gerçekleştirir. .”
İzinsiz giriş faaliyetinin bazı yönlerinin siber güvenlik şirketi tarafından Ekim 2021’de belgelendiğini ve bunun LightBasin (diğer adıyla UNC1945) adlı farklı bir tehdit kümesine atfedildiğini belirtmekte fayda var. Bu küme, aynı zamanda en az 2016’dan bu yana telekom kuruluşlarını hedefleme konusunda bir geçmişe sahip. .
CrowdStrike, kampanyaya ilişkin kapsamlı incelemesinin tamamen yeni bir tehdit aktörünün varlığını ortaya çıkardığını ve üç yıl önceki yanlış yönlendirmenin, birden fazla bilgisayar korsanlığı ekibinin, “oldukça tartışmalı, güvenliği ihlal edilmiş bir ağ” olarak adlandırdığı ağ üzerinde kötü niyetli faaliyetlerini yürütmesinin sonucu olduğunu belirtti.
Cephaneliğindeki özel araçlardan bazıları SIGTRANslator, CordScan ve PingPong’dur ve aşağıdaki yeteneklerle birlikte gelir:
- SIGTRANslator, SIGTRAN protokollerini kullanarak veri göndermek ve almak için tasarlanmış bir Linux ELF ikili programıdır
- CordScan, Hizmet Veren GPRS Destek Düğümü (SGSN) gibi altyapılardan ortak telekomünikasyon protokolleriyle ilgili verileri parmak izi almak ve almak için yerleşik mantık içeren bir ağ tarama ve paket yakalama yardımcı programıdır.
- PingPong, gelen sihirli ICMP yankı isteklerini dinleyen ve paket içinde belirtilen bir IP adresi ve bağlantı noktasına TCP ters kabuk bağlantısı kuran bir arka kapıdır.
Liminal Panda saldırılarının, son derece zayıf ve üçüncü taraf odaklı şifreler kullanarak harici DNS (eDNS) sunucularına sızdığı, bilgisayar korsanlığı ekibinin C2 iletişimleri için sgsnemu adı verilen halka açık bir SGSN emülatörü ile birlikte TinyShell’i kullandığı gözlemlendi.
CrowdStrike, “TinyShell, birden fazla rakip tarafından kullanılan açık kaynaklı bir Unix arka kapısıdır” dedi. “SGSN’ler aslında GPRS ağ erişim noktalarıdır ve emülasyon yazılımı, düşmanın bu telekomünikasyon ağı üzerinden trafiği tünellemesine olanak tanır.”
Bu saldırıların nihai amacı, ağ telemetrisini ve abone bilgilerini toplamak veya endüstrinin birlikte çalışma bağlantı gereksinimlerinden yararlanarak diğer telekomünikasyon varlıklarını ihlal etmektir.
Şirket, “LIMINAL PANDA’nın bilinen izinsiz giriş faaliyeti, tipik olarak telekomünikasyon sağlayıcıları arasındaki güven ilişkilerini ve güvenlik politikalarındaki boşlukları kötüye kullanarak, düşmanın çekirdek altyapıya harici ana bilgisayarlardan erişmesine olanak tanıyor” dedi.
Açıklama, AT&T, Verizon, T-Mobile ve Lumen Technologies gibi ABD telekom sağlayıcılarının Salt Typhoon adlı başka bir Çin bağlantılı bilgisayar korsanlığı grubunun hedefi haline gelmesiyle birlikte geldi. Aksine, bu olaylar telekomünikasyon ve diğer kritik altyapı sağlayıcılarının devlet destekli saldırganlar tarafından tehlikeye atılmaya karşı ne kadar savunmasız olduğunu vurgulamaya hizmet ediyor.
Fransız siber güvenlik şirketi Sekoia, Çin’in saldırgan siber ekosistemini, Devlet Güvenlik Bakanlığı (MSS) ve Kamu Güvenliği Bakanlığı (MPS) gibi hükümet destekli birimleri, sivil aktörleri ve siber saldırıların bağlı olduğu özel kuruluşları içeren ortak bir girişim olarak nitelendirdi. Güvenlik açığı araştırması ve araç seti geliştirme çalışmaları dış kaynaklardan sağlanmaktadır.
“Çin-nexus APT’lerin, tek bir birimle sıkı bir şekilde ilişkilendirilmek yerine, operasyonları yürütmek için işbirliği yapan özel ve devlet aktörlerinin bir karışımı olması muhtemeldir” dedi ve atıftaki zorluklara dikkat çekti.
“Bu, operasyonların yürütülmesi, çalınan bilgilerin satışı veya ele geçirilen cihazlara ilk erişimden, saldırı başlatmak için hizmet ve araçların sağlanmasına kadar uzanıyor. Bu askeri, kurumsal ve sivil aktörler arasındaki ilişkiler birbirini tamamlayıcı niteliktedir ve bireylerin yakınlığıyla güçlenmektedir. bu farklı oyuncuların ve ÇKP’nin politikasının.”