中 연계 APT 조직인 LightBasin(별칭 UNC1945)로 추적되는 中 관련 해킹 조직은 전세계 이동전화 네트워크를 해킹하고 전문 툴을 사용하여 통화기록에 접근한 것으로 알려졌다.

최근 CrowdStrike 연구원에 따르면 이들은 최소 2016년부터 활동해왔으며 매우 정교한 공격 도구를 사용하고 있는 것으로 알려졌다. CrowdStrike는 최소 13개 이상의 통신 회사가 이로 인해 손상을 입었다고 보고했다.

이 공격을 수행한 LightBasin은 최소 2016년부터 통신 네트워크 아키텍처에 대한 심층적인 지식과 맞춤형 도구를 활용하여 전세계적으로 통신 부문을 지속적으로 목표로 삼고 있다. 최근 조사에서는 이들이 제어 명령을 용이하게 하기 위해 이동통신 인프라에서 가입자 정보 및 통화와 같은 매우 구체적인 정보를 검색하기 위한 스캐닝/패킷 캡처 도구 활용을 포함하여 클러스터의 통신 프로토콜에 대한 광범위한 전문 지식을 보유하고 있다.

LightBasin은 처음에 GPRS 네트워크의 일부인 외부 DNS(eDNS) 서버를 활용하여 통신 회사 한 곳의 네트워크를 손상시켰다.  eDNS는 서로다른 이동통신 사업자 간 로밍에 사용되며 위협 행위자는 이를 악용하여 손상된 다른 통신 회사의 GPRS 네트워크에 직접 연결하게 된다. 또한 LightBasindms SDP 시스템, SIM/IMEI, OSS, OMU와 같은 GPRS 네트워크의 다른 통신 관련 시스템을 표적으로 삼을 수 있었다.

eDNS 서버가 손상되면 공격자는 SLAPSTICK로 추적되는 맞춤형 백도어를 배포하여 비밀번호를 탈취하는 것으로 알려졌다.

[출처 : SecurityAffairs / 10.20.]