Skip to main content

Reti informatiche delle società di telecomunicazioni sotto attacco

|

Prese di mira le reti informatiche nel settore delle telecomunicazioni che secondo il rapporto CrowdStrike sono sotto attacco. Il gruppo di criminali informatici potrebbe essere potenzialmente collegato alla Cina, ma al momento non ci sono evidenze che gli attacchi possanno essere collegati a questo paese.

Le società di telecomunicazioni sono state a lungo un obiettivo primario per gli stati-nazione, con attacchi o tentativi visti da Cina, Russia, Iran e altri paesi e secondo il rapporto LightBasin (UNC1945) si rivolge costantemente al settore su scala globale almeno dal 2016. Il gruppo ha compromesso – con successo – almeno 13 gruppi di telecomunicazioni solo negli ultimi due anni.

Adam Meyers di CrowdStrike ha affermato che la sua azienda ha raccolto le informazioni rispondendo a incidenti in più paesi, qundi martedi la società ha pubblicato tutti dettagli tecnici per consentire ad altre società di verificare attacchi simili. Meyers ha infatti sottolineato la criticità di proteggere tutti gli aspetti dell’infrastruttura di telecomunicazioni che sono sotto attaccao e che secondo sempre la società continueranno ad essere prese di mira.

LightBasin inizialmente ha avuto accesso al primo server eDNS tramite SSH da una delle altre società di telecomunicazioni sotto attacco e compromesse, utilizzando password estremamente deboli e di terze parti (ad es. Huawei).

Successivamente, LightBasin ha implementato la propria backdoor SLAPSTICK PAM sul sistema per trasferire le credenziali in un file di testo offuscato. LightBasin è poi passato a sistemi aggiuntivi per impostare più backdoor SLAPSTICK.

Successivamente, LightBasin è tornato ad accedere a diversi server eDNS da una delle società di telecomunicazioni compromesse mentre implementava un impianto di segnalazione del traffico ICMP tracciato da CrowdStrike come PingPong con il nome file /usr/bin/pingg, con persistenza stabilita tramite lo script SysVinit modificato /etc/rc .d/init.d/sshd attraverso la seguente riga aggiuntiva:

cd /usr/bin && nohup ./pingg >/dev/null 2>&1 &

LEGGI IL RAPPORTO COMPLETO: LightBasin: A Roaming Threat to Telecommunications Companies

Leggi anche: Italia è seconda in Europa per attacchi informatici :”+36% in un anno”