Роуминг + DNS = скрита задна вратичка в телекомуникационните мрежи
Специалистите от Palo Alto Networks Unit 42 разкриха нова кибершпионска интервенция, ориентирана към телекомуникационния бранш в Югоизточна Азия. За офанзивите стои групата CL-STA-0969, тясно обвързвана с китайския шпионски клъстер Liminal Panda. От февруари до ноември 2024 година нападателите са провели серия от целенасочени прониквания в сериозно значимата информационна инфраструктура, като са съсредоточили напъните си върху приемането на непрекъснат достъп до мрежите, заобикаляйки нормалните системи за разкриване.
CL-STA-0969 е демонстрирала високо равнище на оперативно прикритие. На всички стадии на офанзивата са употребявани техники за прикриване на следи: изтривани са логовете на събитията, премахвани са ненужните изпълними файлове, била е изключвана системата за сигурност SELinux, а имената на процесите са имитирали законни услуги.
За маскиране на командното ръководство са употребявани способи за тунелиране през DNS и маршрутизиране на трафика през инфектирани мобилни оператори.
Първите стъпки на нашествието почнали с офанзиви за асортимент на пароли за SSH достъп. След приемане на достъп до хоста, атакуващите разгръщали верига от злонамерени съставни елементи. Сред тях — AuthDoor, модул за засвидетелствуване с твърдо кодирана ключова дума, имитиращ инструментите UNC1945. Следва Cordscan — мрежов скенер с опция за хващане на пакети. По създание профилиран злотворен програмен продукт за взаимоотношение със системи, работещи наоколо до роуминг GPRS-възли.
Особо внимание притегля EchoBackdoor — въздържан бекдор, реагиращ на ICMP-заявки. Той извлича команди от мрежови пакети и предава резултата назад посредством некриптирани ICMP-отговори, заобикаляйки общоприетите механизми за мониторинг. За усилване на контрола над мрежовата инфраструктура се употребява емулатора SGSN, прочут като sgsnemu, който разрешава тунелиране на трафика и заобикаляне на рестриктивните мерки на защитните стени.
Наред с това в арсенала на групата се оказа ChronosRAT — модулна стратегия с поддръжка на шпионски функционалности: кейлогинг, основаване на скрийншотове, далечен шел, препращане на файлове и проксиране. Друг детайл — NoDepDNS (известен още като MyDns) е осъществен на Go и употребява необработени сокети за пасивно прослушване на команди, излъчени посредством DNS-заявки на порт 53.
Освен самостоятелните разработки, групата употребява набор от помощни стратегии: Microsocks, Fast Reverse Proxy (FRP), ProxyChains, FScan, Responder и експлойти към уязвимости в UNIX-подобни системи: CVE-2016-5195 (Dirty COW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Baron Samedit). Всички те са били употребявани за повишение на привилегиите и закрепване в системата.
Въпреки мащаба на употребяваните средства, Unit 42 акцентира, че не са открити признаци за кражба на данни. Също по този начин няма доказателства, че злоумишлениците са проследявали устройствата в мрежата на операторите или са правили опити да се свържат с тях.
Palo Alto акцентира, че офанзивите на CL-STA-0969 се основават на надълбоко схващане на телекомуникационните протоколи и архитектурата на мобилните мрежи. Това разрешава на нападателите да проникват неусетно в структурата на телекомуникационните оператори, употребявайки ексцентрични протоколи и проксиране през доверени възли. Тази тактика прави откриването им изключително мъчно.
