Sebuah kelompok spionase siber baru yang terkait dengan Tiongkok telah dikaitkan sebagai dalang di balik serangkaian serangan siber yang menargetkan entitas telekomunikasi di Asia Selatan dan Afrika setidaknya sejak tahun 2020 dengan tujuan memungkinkan pengumpulan intelijen.
Perusahaan keamanan siber CrowdStrike sedang melacak musuh dengan menggunakan nama tersebut Panda Liminalmenggambarkannya sebagai memiliki pengetahuan mendalam tentang jaringan telekomunikasi, protokol yang mendasari telekomunikasi, dan berbagai interkoneksi antar penyedia.
Portofolio malware pelaku ancaman mencakup alat khusus yang memfasilitasi akses rahasia, perintah dan kontrol (C2), dan eksfiltrasi data.
“Liminal Panda telah menggunakan server telekomunikasi yang disusupi untuk memulai intrusi ke penyedia lebih lanjut di wilayah geografis lain,” kata tim Counter Adversary Operations perusahaan tersebut dalam analisis hari Selasa.
“Penyerang melakukan elemen aktivitas intrusi mereka menggunakan protokol yang mendukung telekomunikasi seluler, seperti meniru protokol sistem global untuk komunikasi seluler (GSM) untuk mengaktifkan C2, dan mengembangkan alat untuk mengambil informasi pelanggan seluler, metadata panggilan, dan pesan teks (SMS) .”
Perlu dicatat bahwa beberapa aspek aktivitas intrusi didokumentasikan oleh perusahaan keamanan siber tersebut pada bulan Oktober 2021, lalu mengaitkannya dengan kelompok ancaman berbeda yang dijuluki LightBasin (alias UNC1945), yang juga memiliki rekam jejak menargetkan entitas telekomunikasi setidaknya sejak tahun 2016. .
CrowdStrike mencatat bahwa tinjauan ekstensif terhadap kampanye tersebut mengungkapkan adanya aktor ancaman yang benar-benar baru, dan bahwa kesalahan atribusi tiga tahun lalu adalah hasil dari beberapa kru peretas yang melakukan aktivitas jahat mereka pada apa yang disebutnya sebagai “jaringan terkompromi yang sangat diperebutkan”.
Beberapa alat khusus yang dimilikinya adalah SIGTRANslator, CordScan, dan PingPong, yang hadir dengan kemampuan berikut –
- SIGTRANslator, biner ELF Linux yang dirancang untuk mengirim dan menerima data menggunakan protokol SIGTRAN
- CordScan, utilitas pemindaian jaringan dan penangkapan paket yang berisi logika bawaan untuk sidik jari dan mengambil data yang berkaitan dengan protokol telekomunikasi umum dari infrastruktur seperti Serving GPRS Support Node (SGSN)
- PingPong, pintu belakang yang mendengarkan permintaan gema ICMP ajaib yang masuk dan mengatur koneksi shell terbalik TCP ke alamat IP dan port yang ditentukan dalam paket
Serangan Liminal Panda telah diamati menyusup ke server DNS eksternal (eDNS) menggunakan penyemprotan kata sandi yang sangat lemah dan kata sandi yang berfokus pada pihak ketiga, dengan kru peretasan menggunakan TinyShell bersama dengan emulator SGSN yang tersedia untuk umum yang disebut sgsnemu untuk komunikasi C2.
“TinyShell adalah pintu belakang Unix sumber terbuka yang digunakan oleh banyak musuh,” kata CrowdStrike. “SGSN pada dasarnya adalah titik akses jaringan GPRS, dan perangkat lunak emulasi memungkinkan musuh untuk melakukan terowongan lalu lintas melalui jaringan telekomunikasi ini.”
Tujuan akhir dari serangan ini adalah untuk mengumpulkan telemetri jaringan dan informasi pelanggan atau untuk melanggar entitas telekomunikasi lain dengan memanfaatkan persyaratan koneksi interoperasi industri.
“Aktivitas intrusi LIMINAL PANDA yang diketahui biasanya menyalahgunakan hubungan kepercayaan antara penyedia telekomunikasi dan kesenjangan dalam kebijakan keamanan, sehingga memungkinkan musuh mengakses infrastruktur inti dari host eksternal,” kata perusahaan itu.
Pengungkapan ini terjadi ketika penyedia telekomunikasi AS seperti AT&T, Verizon, T-Mobile, dan Lumen Technologies telah menjadi target kelompok peretas China-nexus lainnya yang dijuluki Salt Typhoon. Bahkan, insiden-insiden ini menyoroti betapa rentannya telekomunikasi dan penyedia infrastruktur penting lainnya untuk disusupi oleh penyerang yang disponsori negara.
Perusahaan keamanan siber Perancis, Sekoia, mencirikan ekosistem siber ofensif Tiongkok sebagai perusahaan gabungan yang mencakup unit-unit yang didukung pemerintah seperti Kementerian Keamanan Negara (MSS) dan Kementerian Keamanan Publik (MPS), aktor sipil, dan entitas swasta yang menjadi sasaran serangan. pekerjaan penelitian kerentanan dan pengembangan perangkat dialihdayakan.
“APT yang berhubungan dengan Tiongkok kemungkinan besar merupakan gabungan aktor-aktor swasta dan negara yang bekerja sama untuk melakukan operasi, dibandingkan hanya dikaitkan dengan unit tunggal,” katanya, seraya menunjukkan tantangan dalam atribusi.
“Hal ini berkisar dari pelaksanaan operasi, penjualan informasi yang dicuri atau akses awal terhadap perangkat yang disusupi hingga penyediaan layanan dan alat untuk melancarkan serangan. Hubungan antara para pemain militer, institusional, dan sipil ini saling melengkapi dan diperkuat oleh kedekatan masing-masing pihak. para pemain yang berbeda ini dan kebijakan PKT.”