Een nieuwe, aan China gelieerde cyberspionagegroep wordt sinds ten minste 2020 toegeschreven aan een reeks gerichte cyberaanvallen gericht op telecommunicatie-entiteiten in Zuid-Azië en Afrika, met als doel het verzamelen van inlichtingen mogelijk te maken.
Cybersecuritybedrijf CrowdStrike volgt de tegenstander onder de naam Liminale Pandawaarin het wordt beschreven als het bezitten van diepgaande kennis over telecommunicatienetwerken, de protocollen die ten grondslag liggen aan telecommunicatie, en de verschillende verbindingen tussen providers.
Het malwareportfolio van de bedreigingsactor omvat op maat gemaakte tools die clandestiene toegang, command-and-control (C2) en gegevensexfiltratie vergemakkelijken.
“Liminal Panda heeft gecompromitteerde telecomservers gebruikt om inbraken te initiëren bij andere providers in andere geografische regio’s”, zei het Counter Adversary Operations-team van het bedrijf dinsdag in een analyse.
“De tegenstander voert elementen van zijn inbraakactiviteit uit met behulp van protocollen die mobiele telecommunicatie ondersteunen, zoals het emuleren van Global System for Mobile Communications (GSM)-protocollen om C2 mogelijk te maken, en het ontwikkelen van tools om informatie over mobiele abonnees op te halen, metadata te bellen en tekstberichten (SMS) .”
Het is de moeite waard om op te merken dat sommige aspecten van de inbraakactiviteit al in oktober 2021 door het cyberbeveiligingsbedrijf werden gedocumenteerd, waarbij het vervolgens werd toegeschreven aan een ander dreigingscluster genaamd LightBasin (ook bekend als UNC1945), dat ook al sinds 2016 een staat van dienst heeft in het aanvallen van telecomentiteiten. .
CrowdStrike merkte op dat de uitgebreide evaluatie van de campagne de aanwezigheid van een geheel nieuwe bedreigingsacteur aan het licht bracht, en dat de verkeerde toeschrijving drie jaar geleden het gevolg was van het feit dat meerdere hackploegen hun kwaadaardige activiteiten uitvoerden op wat volgens hen een ‘zeer omstreden gecompromitteerd netwerk’ was.
Enkele van de aangepaste tools in het arsenaal zijn SIGTRANslator, CordScan en PingPong, die de volgende mogelijkheden bieden:
- SIGTRANslator, een binair Linux ELF-bestand dat is ontworpen om gegevens te verzenden en te ontvangen met behulp van SIGTRAN-protocollen
- CordScan, een hulpprogramma voor netwerkscannen en pakketvastlegging met ingebouwde logica voor het nemen van vingerafdrukken en het ophalen van gegevens met betrekking tot algemene telecommunicatieprotocollen uit infrastructuur zoals de Serving GPRS Support Node (SGSN)
- PingPong, een achterdeur die luistert naar inkomende magische ICMP-echoverzoeken en een TCP reverse shell-verbinding tot stand brengt met een IP-adres en poort die in het pakket zijn gespecificeerd
Er zijn liminale Panda-aanvallen waargenomen die externe DNS-servers (eDNS) infiltreerden met behulp van wachtwoorden die extreem zwakke en op derden gerichte wachtwoorden verspreidden, waarbij de hackers TinyShell gebruikten in combinatie met een openbaar beschikbare SGSN-emulator genaamd sgsnemu voor C2-communicatie.
“TinyShell is een open-source Unix-achterdeur die door meerdere tegenstanders wordt gebruikt”, aldus CrowdStrike. “SGSN’s zijn in wezen GPRS-netwerktoegangspunten, en de emulatiesoftware stelt de tegenstander in staat verkeer via dit telecommunicatienetwerk te tunnelen.”
Het uiteindelijke doel van deze aanvallen is het verzamelen van netwerktelemetrie- en abonnee-informatie of het overtreden van andere telecommunicatie-entiteiten door te profiteren van de vereisten voor onderlinge verbindingen in de sector.
“De bekende inbraakactiviteiten van LIMINAL PANDA hebben doorgaans misbruik gemaakt van vertrouwensrelaties tussen telecommunicatieaanbieders en gaten in het beveiligingsbeleid, waardoor de tegenstander toegang kreeg tot de kerninfrastructuur van externe hosts”, aldus het bedrijf.
De onthulling komt op het moment dat Amerikaanse telecomproviders zoals AT&T, Verizon, T-Mobile en Lumen Technologies het doelwit zijn geworden van een andere Chinese nexus-hackgroep genaamd Salt Typhoon. Deze incidenten benadrukken in ieder geval hoe telecommunicatie- en andere aanbieders van kritieke infrastructuur kwetsbaar zijn voor compromissen door door de staat gesponsorde aanvallers.
Het Franse cyberbeveiligingsbedrijf Sekoia heeft het Chinese offensieve cyber-ecosysteem gekarakteriseerd als een gezamenlijke onderneming die door de overheid gesteunde eenheden omvat, zoals het Ministerie van Staatsveiligheid (MSS) en het Ministerie van Openbare Veiligheid (MPS), civiele actoren en particuliere entiteiten aan wie de het werk op het gebied van kwetsbaarheidsonderzoek en de ontwikkeling van toolsets wordt uitbesteed.
“China-nexus APT’s zullen waarschijnlijk een mix zijn van particuliere en staatsactoren die samenwerken om operaties uit te voeren, in plaats van strikt geassocieerd te zijn met afzonderlijke eenheden”, aldus het rapport, wijzend op de uitdagingen bij de attributie.
“Het varieert van het uitvoeren van operaties, de verkoop van gestolen informatie of de initiële toegang tot gecompromitteerde apparaten tot het leveren van diensten en hulpmiddelen om aanvallen uit te voeren. De relaties tussen deze militaire, institutionele en civiele spelers zijn complementair en worden versterkt door de nabijheid van de individuele partijen. van deze verschillende spelers en het beleid van de CCP.”