Beszivárgás a telekommunikációs szektorba
A Palo Alto Networks Unit 42 jelentése elemzi azokat az incidenseket, amelyek során nemzetállami hátterű támadók a telekommunikációs szektor infrastruktúráit vették célba. A kutatók által azonosított CL‑STA‑0969 aktivitáscsoport fő célpontjai Dél-Ázsia mobil roaminghálózatai voltak – itt tárták fel a behatolást, visszamaradó kártevők telepítését és tartós, rejtett hozzáférésre alkalmas rendszerfelépítést.
A csoporthoz kapcsolódó támadók – nagy valószínűséggel a Liminal Panda, egy a kínai állami szereplőhőz kötött csoport mögött – kifinomult egyedi eszközöket vetettek be, köztük a Cordscan modult, amely képes volt mobil eszközök földrajzi helyadatait begyűjteni. A jelentés szerint ugyan konkrét adatlopás vagy hálózati kommunikációs eseményeket nem dokumentáltak, de a létrehozott C2 infrastruktúra felkészült további, kampányhoz kötött műveletekre is.
A támadók operációs biztonságára nagy hangsúlyt fektettek, a rendszereiket elrejtették, és különféle védelmi elkerülési technikákat alkalmaztak, például proxykat, DNS tunnelinget és régi sebezhetőségek kihasználását. Ez lehetővé tette számukra, hogy észrevétlenül hosszú időn át jelen legyenek a hálózati felszínen.
A telekommunikációs hálózatok sebezhető célpontot jelenthetnek nem csak adathalászat vagy phishing révén, hanem közvetlen hálózati hozzáférésen keresztül történő infiltráció révén is – különösen olyan országok esetében, ahol a hálózatok interoperábilis roaming struktúrái nyitottabban használhatók visszaélések céljára.
