資安公司 CrowdStrike 揭露,一個新發現的中國網路間諜組織自 2020 年起,針對南亞和非洲的電信業者發動一系列網路攻擊,目的在於收集情報。該組織被命名為「Liminal Panda」,特點是非常了解電信網路、通訊協定及電信商之間的互連機制與技術。
專門工具與攻擊手法
根據 CrowdStrike 的反駭客行動小組分析,Liminal Panda 擁有一系列客製化工具,用於實現隱密存取、指揮控制(C2)和資料竊取。其主要工具包括:
- SIGTRANslator是一個 Linux 執行檔,專門用於透過 SIGTRAN 協定收發資料。
- CordScan 則是一個網路掃描和封包擷取工具,內建了電信協定指紋識別功能,可從 GPRS 支援節點(SGSN)等基礎設施中擷取資料。
- PingPong後門程式,會監聽特定的 ICMP echo 請求,並建立 TCP 反向 shell 連線。
攻擊策略與目標
Liminal Panda 主要利用弱密碼攻擊外部 DNS 伺服器進行入侵。他們會結合開源的 TinyShell 後門和一個名為 sgsnemu 的 SGSN 模擬器來建立指揮控制通道。CrowdStrike 指出,駭客利用電信業者之間的信任關係和安全政策漏洞,從外部主機存取核心基礎設施。
攻擊的最終目標是收集網路遙測資料和用戶資訊,或利用電信業者之間的互連需求入侵其他電信企業。
值得注意的是,CrowdStrike 曾在 2021 年 10 月將類似的攻擊活動歸因於另一個名為 LightBasin(又稱 UNC1945)的駭客組織。經過深入調查後,他們發現這實際上是一個全新的威脅行動者,先前的誤判源於多個駭客組織在同一個遭到入侵的網路上進行活動。
法國資安公司 Sekoia 分析指出,中國的網路攻擊生態系統是一個聯合體,涵蓋了國家安全部(MSS)、公安部(MPS)等政府支持的單位,以及負責漏洞研究和工具開發的民間機構和私人企業。這種複雜的合作關係使得精確歸因變得非常困難。
事件警示
這次的揭露與近期美國電信商 AT&T、Verizon、T-Mobile 和 Lumen Technologies 遭到另一個中國駭客組織「Salt Typhoon」攻擊的事件相呼應,凸顯出電信等關鍵基礎設施容易成為國家級駭客的目標。
相關文章:中國駭客組織Volt Typhoon 疑似利用 Versa 零時差漏洞攻擊美國網路服務供應商
資安專家建議電信業者應加強外部 DNS 伺服器的保護,定期檢查系統日誌以偵測可疑的 SIGTRAN 和 GSM 協定使用情況,並謹慎檢視與其他電信商的互連安全政策。
本文轉載自thehackernews。