Ad unn nuovo gruppo di spionaggio informatico che ha legami con la Repubblica Popolare Cinese, chiamato Liminal Panda, è stato attribuito a una serie di attacchi mirati contro enti di telecomunicazioni in Asia meridionale e in Africa, attivi almeno dal 2020, con l’obiettivo di raccogliere informazioni di intelligence.
Liminal Panda: chi sono e quali sono i loro obbiettivi
La società di sicurezza informatica CrowdStrike sta monitorando questo attaccante con il nome di Liminal Panda, descrivendolo come esperto profondo delle reti di telecomunicazioni, dei protocolli che le sostengono e delle varie interconnessioni tra i fornitori di servizi.
L’arsenale di malware di questo gruppo di hacker include strumenti personalizzati che facilitano l’accesso clandestino, il comando e controllo (C2) e l’esfiltrazione di dati.
“Liminal Panda ha utilizzato server compromessi di telecomunicazioni per avviare intrusioni presso altri fornitori in diverse regioni geografiche“, ha affermato il team Counter Adversary Operations della società in un’analisi pubblicata martedì.
L’attaccante utilizza elementi della sua attività di intrusione sfruttando protocolli che supportano le telecomunicazioni mobili, come l’emulazione di protocolli del sistema globale per le comunicazioni mobili (GSM) per abilitare il C2 e lo sviluppo di strumenti per ottenere informazioni sugli abbonati mobili, metadati delle chiamate e messaggi di testo (SMS).
Va notato che alcuni aspetti di questa attività di intrusione erano già stati documentati dalla società di sicurezza informatica nell’ottobre 2021, attribuendoli allora a un altro cluster di minacce chiamato LightBasin (noto anche come UNC1945), anch’esso noto per aver preso di mira entità di telecomunicazioni almeno dal 2016.
CrowdStrike ha osservato che una revisione approfondita della campagna ha rivelato la presenza di un gruppo di hacker completamente nuovo, e che l’errata attribuzione di tre anni fa era dovuta a più gruppi di hacking che operavano su quella che è stata descritta come una “rete compromessa altamente contesa“.
Strumenti personalizzati nell’arsenale di Liminal Panda
Alcuni degli strumenti utilizzati includono:
- SIGTRANslator: un binario ELF per Linux progettato per inviare e ricevere dati utilizzando i protocolli SIGTRAN.
- CordScan: un’utilità per la scansione della rete e la cattura di pacchetti, con logica integrata per identificare e recuperare dati relativi a protocolli comuni delle telecomunicazioni da infrastrutture come il Serving GPRS Support Node (SGSN).
- PingPong: una backdoor che ascolta richieste ICMP “magiche” e configura una connessione TCP reverse shell a un indirizzo IP e una porta specificati nel pacchetto.
Gli attacchi di Liminal Panda sono stati osservati mentre infiltravano server DNS esterni (eDNS) utilizzando tecniche di password spraying con credenziali deboli e focalizzate su terze parti; il gruppo di hacker ha usato TinyShell in combinazione con un emulatore SGSN pubblico chiamato sgsnemu per le comunicazioni C2.
“TinyShell è una backdoor open-source per Unix utilizzata da più avversari“, ha dichiarato CrowdStrike. “Gli SGSN sono essenzialmente punti di accesso alla rete GPRS, e il software di emulazione consente agli avversari di tunnelizzare il traffico attraverso questa rete di telecomunicazioni.”
Obiettivi finali degli attacchi di Liminal Panda
Lo scopo finale di questi attacchi è raccogliere telemetria della rete e informazioni sugli abbonati o violare altre entità di telecomunicazioni sfruttando i requisiti di interconnessione del settore.
“Le attività di intrusione note di Liminal Panda hanno tipicamente sfruttato le relazioni di fiducia tra fornitori di telecomunicazioni e le lacune nelle politiche di sicurezza, consentendo all’avversario di accedere alle infrastrutture principali da host esterni“, ha detto la società.
Contestualizzazione
La divulgazione avviene mentre fornitori di telecomunicazioni statunitensi come AT&T, Verizon, T-Mobile e Lumen Technologies sono presi di mira da un altro gruppo di hacking legato alla Cina, noto come Salt Typhoon e questi incidenti evidenziano come le telecomunicazioni e altre infrastrutture critiche siano vulnerabili agli attacchi di malintenzionati mandati da varie nazioni.
La società francese di sicurezza informatica Sekoia ha caratterizzato l’ecosistema telematico offensivo cinese come un’impresa congiunta che include unità sostenute dal governo come il Ministero della Sicurezza dello Stato (MSS) e il Ministero della Pubblica Sicurezza (MPS), criminali informatici civili e soggetti privati ai quali è esternalizzato il lavoro di ricerca sulle vulnerabilità e sviluppo degli strumenti.
“È probabile che gli APT legati alla Cina siano un mix di criminali informatici privati e statali che collaborano per condurre operazioni, piuttosto che essere strettamente associati a singole unità“, ha affermato Sekoia, evidenziando le difficoltà di attribuzione, concludendo: “questo va dalla conduzione delle operazioni, alla vendita di informazioni rubate o dell’accesso iniziale ai dispositivi compromessi, fino alla fornitura di servizi e strumenti per lanciare attacchi. Le relazioni tra questi malintenzionati militari, istituzionali e civili sono complementari e rafforzate dalla prossimità degli individui coinvolti e dalla politica del Partito Comunista Cinese (PCC).“
