{"id":19036,"date":"2021-10-25T20:51:05","date_gmt":"2021-10-25T23:51:05","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19036"},"modified":"2021-10-25T20:52:18","modified_gmt":"2021-10-25T23:52:18","slug":"hackers-violam-pelo-menos-13-provedores-de-servicos-de-telecomunicacoes","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/10\/basico\/hackers-violam-pelo-menos-13-provedores-de-servicos-de-telecomunicacoes\/","title":{"rendered":"Hackers violam pelo menos 13 provedores de servi\u00e7os de telecomunica\u00e7\u00f5es"},"content":{"rendered":"\n

LightBasin Hackers violam pelo menos 13 provedores de servi\u00e7os de telecomu<\/span>nica\u00e7\u00f5es desde 2019 <\/span><\/h1>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

Um advers\u00e1rio altamente sofisticado chamado LightBasin foi identificado como respons\u00e1vel por uma s\u00e9rie de ataques direcionados ao setor de telecomunica\u00e7\u00f5es com o objetivo de coletar “informa\u00e7\u00f5es altamente espec\u00edficas” da infraestrutura de comunica\u00e7\u00e3o m\u00f3vel, como informa\u00e7\u00f5es de assinantes e metadados de chamadas. <\/span><\/p>\n

\u00a0<\/p>\n

“A natureza dos dados direcionados pelo ator se alinha com as informa\u00e7\u00f5es provavelmente de interesse significativo para as organiza\u00e7\u00f5es de intelig\u00eancia de sinais”, pesquisadores da empresa de seguran\u00e7a cibern\u00e9tica CrowdStrike <\/span>informaram <\/span>em uma an\u00e1lise publicada na ter\u00e7a-feira. <\/span><\/p>\n

\u00a0<\/p>\n

Conhecido por estar ativo desde 2016, acredita-se que o LightBasin (tamb\u00e9m conhecido como UNC1945) tenha comprometido 13 empresas de telecomunica\u00e7\u00f5es em todo o mundo desde 2019, aproveitando ferramentas personalizadas e seu amplo conhecimento de protocolos de telecomunica\u00e7\u00f5es para ceifar atrav\u00e9s das defesas das organiza\u00e7\u00f5es. As identidades das entidades visadas n\u00e3o foram divulgadas, nem os resultados vinculam a atividade do cluster a um pa\u00eds espec\u00edfico. <\/span><\/p>\n

\u00a0<\/p>\n

\"Hackers<\/p>\n

\u00a0<\/p>\n

De fato, um incidente recente investigado pela CrowdStrike encontrou o ator de intrus\u00e3o alvo tirando proveito de servidores DNS externos (eDNS) para se conectar diretamente para redes GPRS de outras empresas de telecomunica\u00e7\u00f5es comprometidas via SSH e atrav\u00e9s de backdoors previamente estabelecidos, como PingPong. O comprometimento inicial \u00e9 facilitado com a ajuda de ataques de espalhamento de senha, consequentemente levando \u00e0 instala\u00e7\u00e3o do malware SLAPSTICK para roubar senhas e bisbilhotar outros sistemas na rede. <\/span><\/p>\n

\u00a0<\/p>\n

Outras indica\u00e7\u00f5es baseadas em dados de telemetria mostram a capacidade do ator de intrus\u00e3o alvo de emular pontos de acesso de rede GPRS para realizar comunica\u00e7\u00f5es de comando e controle em conjunto com um backdoor baseado em Unix chamado TinyShell, permitindo assim que o invasor encapsule o tr\u00e1fego atrav\u00e9s da rede de telecomunica\u00e7\u00f5es . <\/span><\/p>\n

\u00a0<\/p>\n

Entre as v\u00e1rias ferramentas do arsenal de malware da LightBasin est\u00e1 um utilit\u00e1rio de varredura de rede e captura de pacotes chamado “CordScan”, que permite \u00e0s operadoras fazer impress\u00f5es digitais de dispositivos m\u00f3veis, bem como “SIGTRANslator”, um bin\u00e1rio ELF que pode transmitir e receber dados atrav\u00e9s do <\/span>SIGTRAN <\/span>pacote de protocolos que \u00e9 usado para transportar sinaliza\u00e7\u00e3o de rede telef\u00f4nica p\u00fablica comutada (PSTN) em redes IP. <\/span><\/p>\n

\u00a0<\/p>\n

“N\u00e3o \u00e9 surpreendente que os servidores precisem se comunicar uns com os outros como parte de acordos de roaming entre empresas de telecomunica\u00e7\u00f5es; no entanto a capacidade da LightBasin de girar entre v\u00e1rias empresas de telecomunica\u00e7\u00f5es resulta de permitir todo o tr\u00e1fego entre essas organiza\u00e7\u00f5es sem identificar os protocolos que s\u00e3o realmente necess\u00e1rios, conforme nota da CrowdStrike”. <\/span><\/p>\n

\u00a0<\/p>\n

“Como tal, a principal recomenda\u00e7\u00e3o aqui \u00e9 que qualquer empresa de telecomunica\u00e7\u00f5es garanta que os firewalls respons\u00e1veis \u200b\u200bpela rede GPRS tenham regras para restringir o tr\u00e1fego de rede apenas aos protocolos esperados, como DNS ou GTP”, acrescentou a empresa. <\/span><\/p>\n

\u00a0<\/p>\n

As descobertas tamb\u00e9m v\u00eam no momento em que a empresa de seguran\u00e7a cibern\u00e9tica Symantec divulgou detalhes de um grupo de amea\u00e7as persistentes avan\u00e7adas (APT) nunca antes visto, apelidado de ” <\/span>Harvester <\/span>“, que foi vinculado a uma campanha de roubo de informa\u00e7\u00f5es destinada aos setores de telecomunica\u00e7\u00f5es, governo e tecnologia da informa\u00e7\u00e3o no Sul da \u00c1sia desde junho de 2021 usando um implante personalizado chamado “Graphon”. <\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/10\/lightbasin-hackers-breach-at-least-13.html<\/a><\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

LightBasin Hackers violam pelo menos 13 provedores de servi\u00e7os de telecomunica\u00e7\u00f5es desde 2019 \u00a0 \u00a0 Um advers\u00e1rio altamente sofisticado chamado LightBasin foi identificado como respons\u00e1vel por uma s\u00e9rie de ataques direcionados ao setor de telecomunica\u00e7\u00f5es com o objetivo de coletar “informa\u00e7\u00f5es altamente espec\u00edficas” da infraestrutura de comunica\u00e7\u00e3o m\u00f3vel, como informa\u00e7\u00f5es de assinantes e metadados de […]<\/p>\n","protected":false},"author":2,"featured_media":19040,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105,99],"tags":[],"class_list":["post-19036","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19036","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19036"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19036\/revisions"}],"predecessor-version":[{"id":19043,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19036\/revisions\/19043"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19040"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19036"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19036"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19036"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}