Xakep #305. Многошаговые SQL-инъекции
Специалисты компании CrowdStrike подготовили отчет о хакерской группе LightBasin (она же UNC1945 по версии компании Mandiant), которая взламывает системы операторов мобильной связи по всему миру уже несколько лет. C 2019 года группировка скомпрометировала 13 неназванных телекоммуникационных компаний и сохраняла присутствие в их системах, чтобы воровать информацию об абонентах и метаданные вызовов.
Эксперты пишут, что LightBasin активна как минимум с 2016 года и в основном атакует серверы Linux и Solaris, хотя при необходимости хакеры могут взаимодействовать и с Windows-машинами. Изучением деятельности группы специалисты занялись после одного инцидента, который расследовали в неназванной телекоммуникационной компании. Там специалисты обнаружили, что злоумышленники перепрыгивают из одной взломанной сети в другую через SSH и «ранее установленные имплантаты» (малварь). Так, оказалось, что хакеры получили доступ к серверу eDNS жертвы через SSH-соединение из сети другой скомпрометированной компании.
Среди телекоммуникационных систем, на которые нацелена LightBasin, перечислены серверы External DNS (eDNS), системы Service Delivery Platform (SDP) и SIM/IMEI. Все они являются частью сети General Packet Radio Service (GPRS), которая обеспечивает роуминг между операторами мобильной связи.
Отчет гласит, что часто группировка LightBasin взламывает целевую систему при помощи брутфорса, пытаясь использовать учетные данные по умолчанию. После успешного взлома злоумышленники устанавливают и запускают на машине цели специальную малварь, которая получила название SLAPSTICK — это бэкдор для модуля аутентификации Solaris Pluggable Authentication Module (PAM), который предоставляет доступ к системе на основе жестко запрограммированного пароля.
Обладая бэкдор-доступом к целевой системе Solaris, хакеры получают возможность похитить пароли для перехода на другие машины, а также надежно закрепиться в системе. Так, в ходе упомянутого инцидента хакеры в итоге получили доступ к нескольким серверам eDNS взломанной компании через вредоноса, который аналитики CrowdStrike назвали PingPong. Он получает команды через запросы ICMP, чтобы установить реверс-шелл TCP на IP-адрес и порт, указанные в пакете.
«Серверы eDNS обычно защищены от внешнего доступа из интернета с помощью брандмауэров. Таким образом, волшебный пакет, который прослушивает PingPong, скорее всего, должен быть отправлен из другой скомпрометированной сетевой инфраструктуры GPRS», — говорят эксперты.
Созданные PingPong ревер-шеллы общались через TCP-порт 53 (по умолчанию для DNS) с серверами других телекоммуникационных компаний в других частях мира. При этом, чтобы оставаться незамеченными, LightBasin добавили правила iptables на сервер eDNS, которые разрешали SSH-соединение с пятью другими скомпрометированными компаниями. Кроме того, злоумышленники использовали троянизированную версию iptables, которая удаляла output первых двух октетов с IP-адресов, принадлежащих другим взломанным компаниям, что дополнительно затрудняло поиск измененных правил.
Также аналитики CrowdStrikes отмечают, что LightBasin использует новую технику для туннелирования трафика в телекоммуникационных сетях, которая включает в себя специальный эмулятор и TinyShell (распространенный Unix-бэкдор с открытым кодом).
В целом CrowdStrike перечисляет следующий набор утилит и малвари, которые LightBasin применяет в своих операциях:
- CordScan: сетевой сканер и захватчик пакетов, который способен сканировать и извлекать информацию, специфичную для телекоммуникационных протоколов;
- SIGTRANslator: бинарник ELF, который может отправлять и получать данные через специфичные для телекомов протоколы (SIGTRAN);
- Fast Reverse Proxy: обратный прокси с открытым исходным кодом;
- Microsocks Proxy: легкий прокси-сервер SOCKS5 с открытым исходным кодом;
- ProxyChains: еще один опенсорный инструмент, который объединяет прокси и направляет сетевой трафик через полученную цепочку.
Хотя ни CrowdStrike, ни Mandiant не связывают эту хак-группу с какой-либо конкретной страной, в свежем отчете исследователей отмечается, что разработчик SIGTRANslator явно неплохо знает китайский язык.