라이트베이진
LightBasin |
 | 이 글은 이해하기 어렵거나 이해하기 어려울 수 있습니다.특히 이 문서에서는 지속적인 위협에 대한 컴퓨터 보안 전문가가 아닌 비기술 독자에게 LightBasin이 무엇인지 설명하지 않습니다. 에 내용이 수 . (2022년 4월) |
만디안트에 의해 UNC1945라고도 불리는 LightBasin은 중국의 사이버 스파이 조직으로 의심되는 단체로, 통신 [1][2][3]회사에 대한 여러 번의 사이버 공격의 원인으로 알려져 왔다.고도의 영속적인 위협으로서 컴퓨터 네트워크에 대한 부정 액세스를 도모하고, 장기간 검출되지 않은 채로 있습니다.Linux [1][2][3]및 Solaris 시스템을 대상으로 한 공격이 원인이라고 생각됩니다.
역사
라이트베이진 사이버 스파이단은 2016년부터 [1][2]운영되어 왔다.Crowd Strike는 그들이 중국에 [1]근거지를 두고 있다고 말했지만 정확한 위치는 알려지지 않았다.그들은 13개의 통신 [2]사업자를 목표로 하고 있다.
대상
CrowdStrike는 이 그룹이 통신 [1]사업자의 프로토콜과 기술을 대상으로 하는 것은 이례적이라고 말한다.CrowdStrike의 이러한 위반에 대한 조사에 따르면 LightBasin은 외부 DNS(eDNS) 서버를 이용했습니다.이 서버는 General Packet Radio Service(GPRS) 네트워크의 일부이며 서로 다른 모바일 오퍼레이터 간에 로밍하는 역할을 담당합니다.이 서버는 SSH 및 Th를 통해 침해된 다른 통신사의 GPR 네트워크에 직접 접속하고 있습니다.약하게 만들어진 이식물들.많은 툴이 [1]기성품이 아닌 고객을 위해 작성되어 있습니다.
시스템을 손상시킨 후 Solaris Pluggable 인증 [2]모듈용 백도어(SLAPSTICK)를 설치합니다.이들은 공격자의 IP 주소와 통신하기 위해 HTTP 요청을 통해 명령을 제어하고 웹 [4]쉘로 내보내는 데 사용되는 파이썬 명령 셸인 TinyShell을 사용합니다.스크립트는 SGSN 에뮬레이터를 통해 터널링됩니다.CrowdStrike는 이를 OPSEC [3]유지라고 합니다.Serviceing GPRS Support Node(SGSN; 서비스 GPRS 지원 노드)는 GPRS 네트워크의 주요 컴포넌트입니다.GPRS 네트워크의 주요 컴포넌트는 네트워크 내의 모든 패킷 교환 데이터(예를 들어 사용자의 [5]모빌리티 관리 및 인증)를 처리합니다.이 형식의 터널을 사용하면 네트워크보안 솔루션에 [1][3]의해 제한되거나 검사될 가능성이 낮아집니다.
CrowdStrike는 GPRS 트래픽을 처리하는 방화벽을 DNS 또는 GPRS 터널링 프로토콜 [1]트래픽에 대한 액세스를 제한하도록 구성할 것을 권장합니다.
레퍼런스
- ^ a b c d e f g h Nichols, Shaun (2021-10-20). "'LightBasin' hackers spent 5 years hiding on telco networks". TechTarget. Retrieved 2022-04-08.
- ^ a b c d e Ilascu, Ionut (2021-10-19). "LightBasin hacking group breaches 13 global telecoms in two years". Bleeping Computer. Retrieved 2022-04-08.
- ^ a b c d "LightBasin: A Roaming Threat to Telecommunications Companies". CrowdStrike.
- ^ "Day 27: Tiny SHell (SSH-like backdoor with full-pty terminal)". Medium.
- ^ "SGSN". Telecom ABC.