Posté le octobre 22, 2021 à 20:17
DES HACKERS CIBLENT DES ENTREPRISES DE TÉLÉCOMMUNICATIONS DANS UNE ATTAQUE D’ESPIONNAGE SOUPÇONNÉE
Des recherches ont révélé l’existence d’un groupe de hackers qui cible les entreprises de télécommunications à l’échelle mondiale, cherchant à leur voler des données dans ce qui est désormais qualifié de campagne de collecte de renseignements et de cyberespionnage.
Selon CrowdStrike, ces hackers opèrent depuis 2016. La société de cybersécurité a également attribué ces attaques furtives au groupe de hackers LightBasic, également connu sous le nom de UNC1945.
Un groupe de hackers s’attaque aux communications mobiles
Le rapport montre également que ce groupe de hackers a compromis les systèmes de plus de 13 entreprises de télécommunications au cours des deux dernières années. La plupart de ces attaques ont pour but de voler des informations aux entreprises de communications mobiles. Ces informations comprennent les données des abonnés et d’autres détails des appels.
Dans plusieurs cas, les hackers ont également volé des informations sur les smartphones. Ces informations comprennent ce que l’utilisateur envoie et reçoit.
Commentant ce piratage, le vice-président senior chargé du renseignement chez CrowdStrike, Adam Meyers, a déclaré : » La nature des données ciblées par LightBasin s’aligne sur les informations susceptibles de présenter un intérêt significatif pour les organisations de renseignement électromagnétique. Leurs principales motivations sont probablement une combinaison de surveillance, de renseignement et collecte d’informations sur le contre-espionnage. »
M. Meyers a également noté les nombreuses informations que les hackers peuvent obtenir lorsqu’ils ciblent les entreprises de télécommunications, surtout si ces hackers sont parrainés par l’État.
L’état d’origine de ces acteurs malveillants n’a pas été donné. Cependant, certains chercheurs ont noté que la langue utilisée pour développer les outils servant à compromettre ces systèmes présente des traces de la langue chinoise. Toutefois, cela ne signifie pas nécessairement que les hackers sont affiliés à la Chine ou à tout autre pays parlant la langue chinoise.
Dans un billet de blog, CrowdStrike a déclaré : « La sécurisation d’une organisation de télécommunications n’est en aucun cas une tâche simple, en particulier en raison de la nature lourde des partenaires de ces réseaux et de l’accent mis sur les systèmes à haute disponibilité ; cependant, avec les preuves évidentes d’un adversaire très sophistiqué qui abuse de ces systèmes et de la confiance entre les différentes organisations, il est de la plus haute importance de se concentrer sur l’amélioration de la sécurité de ces réseaux. »
Les hackers s’attaquent aux systèmes Linux
Ces hackers prennent des précautions pour ne pas se faire repérer. Les recherches ont montré qu’ils compromettent rarement les systèmes Windows, sauf en cas de nécessité. Les recherches montrent que les hackers préfèrent utiliser des serveurs Linux et Solaris. Ces serveurs sont plus sujets aux failles de sécurité que Windows.
Les hackers obtiennent un premier accès à ces serveurs en utilisant un serveur DNS externe (eDNS) qui relie plusieurs opérateurs téléphoniques. La recherche montre en outre que les hackers ont mené leur attaque en chaîne.
Ils ont utilisé un système précédemment compromis pour accéder à un autre système. La plupart des chercheurs pensent que les victimes initiales de ces attaques étaient très probablement des personnes dont les mots de passe avaient été compromis par des attaques par force brute.
Après avoir obtenu l’accès au réseau, les hackers utilisent la porte dérobée TinyShell pour compromettre les systèmes. Les hackers utilisent cette technique de backdoor avec un logiciel d’émulation qui leur permet de pirater le trafic émanant du serveur de télécommunications. Ils utilisent également une large gamme d’autres outils tels que CordScan qui leur permettent de récupérer les données des serveurs de télécommunication.
Les chercheurs ont également noté que le groupe de hackers était en mesure de mener « des recherches poussées et des capacités de développement pour cibler des infrastructures spécifiques à des fournisseurs, communément observées dans les environnements de télécommunications ». De plus, les chercheurs ont ajouté que le mode opératoire utilisé par ces hackers s’apparentait à la collecte de renseignements, indiquant qu’il s’agissait très probablement d’une attaque d’espionnage.
Les hackers ont pris plusieurs précautions pour s’assurer qu’ils ne seraient pas détectés. Cependant, ils n’ont pas réussi à cacher certains détails cruciaux lors de l’utilisation de l’outil ATP SteelCorgi. En outre, les techniques utilisées par les hackers ont été trouvées dans plusieurs serveurs d’entreprises de télécommunications, ce qui montre que ce groupe de hackers pourrait avoir l’intention d’attaquer des entreprises du secteur des communications et de voler des informations importantes.
Les chercheurs ont également affirmé que cette révélation signifiait la fin des attaques, car il existe encore des informations montrant que le groupe pourrait toujours être activement impliqué dans le ciblage des entreprises de télécommunications.
À propos de cette possibilité, M. Meyers a déclaré : « Étant donné que LightBasin utilise des outils sur mesure et qu’il a une connaissance approfondie des architectures de réseaux de télécommunications, nous en avons vu assez pour comprendre que la menace que représente LightBasin n’est pas limitée et pourrait toucher des organisations autres que celles avec lesquelles nous travaillons. Le gain potentiel pour ces hackers en termes de collecte de renseignements et de surveillance est tout simplement trop important pour qu’ils s’en privent. »
Il existe plusieurs précautions que les entreprises peuvent prendre pour réduire la possibilité que leurs systèmes soient compromis par ces attaques. La première consiste à mettre en place des systèmes de pare-feu avancés qui protégeront les réseaux GPRS. En outre, ces pare-feu doivent être configurés de manière à empêcher l’accès aux réseaux par des parties non désirées.