LIMINAL PANDA: La Minaccia Invisibile che Spia le Telecomunicazioni dal 2020

Redazione RHC : 25 Novembre 2024 15:13

Martedì 19 novembre 2024, Adam Meyers, senior Vice President delle Counter Adversary Operations di CrowdStrike, testimonia davanti alla sottocommissione giudiziaria del Senato degli Stati Uniti sulla privacy, la tecnologia e la legge sulle minacce informatiche cinesi alle infrastrutture critiche. Nel corso della sua testimonianza, Adam parla pubblicamente per la prima volta di un attore sponsorizzato dallo Stato cinese che CrowdStrike Counter Adversary Operations identifica come LIMINAL PANDA.

Almeno dal 2020, LIMINAL PANDA ha preso di mira organizzazioni parte del settore delle telecomunicazioni utilizzando strumenti personalizzati che consentono covert access, command and control (C2) e l’esfiltrazione dei dati. L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione, compresa la comprensione delle interconnessioni tra i fornitori. LIMINAL PANDA ha utilizzato server di telecomunicazioni compromessi per dare inizio ad  intrusioni in altri fornitori, in altre regioni geografiche.

L’avversario conduce la sua attività di intrusione utilizzando protocolli che supportano le telecomunicazioni mobili, come l’emulazione dei protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati del servizio mobile, metadati delle chiamate e messaggi di testo (SMS).

È molto probabile che LIMINAL PANDA sia impegnato in attività di intrusione mirata a supporto della raccolta di informazioni. Questa valutazione viene effettuata con grande probabilità sulla base del profilo del bersaglio identificato dall’avversario, dei probabili obiettivi della missione e delle tattiche, tecniche e procedure osservate (TTP), che suggeriscono requisiti di accesso occulto a lungo termine.

Questo blog fornisce una panoramica della storia di CrowdStrike nel monitoraggio di LIMINAL PANDA, illustra le caratteristiche, gli obiettivi e le tattiche principali dell’avversario e suggerisce alle organizzazioni una guida per difendersi da questa minaccia.

Tracciamento e identificazione di LIMINAL PANDA

Nel 2021, CrowdStrike ha attribuito diverse intrusioni nel settore delle telecomunicazioni al gruppo di attività LightBasin, che ha costantemente preso di mira le TELCO almeno dal 2016, utilizzando vari strumenti personalizzati. Una revisione approfondita di questa attività di intrusione ha determinato che alcuni degli eventi documentati in un precedente post del blog sono attribuibili a un avversario diverso, ora identificato come LIMINAL PANDA. Questa associazione è risultata dal fatto che più attori stavano conducendo attività dannose su una rete compromessa altamente contestata.

CrowdStrike ha aggiornato il post del blog per riflettere l’attività ora tracciata come LIMINAL PANDA e fornire ulteriori dettagli e TTP, compreso l’uso da parte dell’avversario di strumenti proxy pubblicamente disponibili durante le intrusioni. Questa nuova attribuzione non influisce sull’analisi tecnica del malware di LightBasin e sulle TTP descritte nell’analisi originale.

CrowdStrike continua a monitorare tutte le altre attività di LightBasin e le famiglie di malware associate sotto il nome del cluster di attività stabilito. I rapporti di intelligence, compresi gli aggiornamenti del profilo operativo di LightBasin, sono stati resi pubblici agli abbonati a CrowdStrike Falcon® Adversary Intelligence Premium. Questi aggiornamenti forniscono dettagli accurati sulla portata dell’obiettivo dell’attore, sulle TTP e sulle attuali valutazioni di attribuzione del malware.

Strumenti, tattiche e comportamenti di LIMINAL PANDA

L’avversario LIMINAL PANDA prende di mira i fornitori di telecomunicazioni con vari strumenti che consentono l’accesso occulto, il C2 e l’esfiltrazione dei dati. Nel 2020 e 2021, LIMINAL PANDA ha probabilmente preso di mira più fornitori di telecomunicazioni, utilizzando l’accesso a queste entità per compromettere le organizzazioni.

L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione,  la comprensione delle interconnessioni tra i provider e dei protocolli che supportano le telecomunicazioni mobili. LIMINAL PANDA emula i protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati al servizio mobile, metadati delle chiamate e messaggi di testo.

LIMINAL PANDA utilizza una combinazione di malware personalizzata, strumenti disponibili pubblicamente e software proxy per instradare le comunicazioni C2 attraverso diversi segmenti di rete. La Tabella 1 elenca il malware e gli strumenti associati a ciascun attore.

LIMINAL PANDA conduce attività di intrusione che rappresentano una minaccia potenziale significativa per le organizzazioni del settore delle telecomunicazione. L’avversario prende di mira queste entitá per raccogliere direttamente informazioni sulla telemetria della rete e sugli abbonati o per compromettere altre organizzazioni sfruttando i requisiti di connessione interoperativa del settore. Le probabili motivazioni operative di LIMINAL PANDA – indicate dallo sviluppo e dall’impiego di strumenti specifici per la tecnologia delle telecomunicazioni – sono strettamente allineate con le operazioni di raccolta dei segnali di intelligence (SIGINT) per la raccolta di informazioni, in contrapposizione all’accesso per fini finanziari.

LIMINAL PANDA si è precedentemente concentrato sui fornitori di telecomunicazioni dell’Asia meridionale e dell’Africa, suggerendo che i loro obiettivi finali probabilmente risiedono in queste regioni; tuttavia, anche gli individui in roaming in queste aree potrebbero essere presi di mira a seconda della configurazione della rete compromessa e dell’accesso attuale di LIMINAL PANDA. Allo stesso modo, a seconda dei loro attuali requisiti di raccolta, l’avversario potrebbe utilizzare TTP simili per colpire le telecomunicazioni in altre aree.

CrowdStrike Intelligence ritiene che l’attività di LIMINAL PANDA sia in linea con le operazioni informatiche della Cina. Questa valutazione è fatta con bassa probabilità sulla base dei seguenti fattori, che da soli non indicano certezza di attribuzione a causa della loro natura non esclusiva:

• Il bersaglio sono organizzazioni che operano in Paesi associati alla Belt and Road Initiative (BRI) della Cina, una strategia a livello nazionale che cerca di creare opportunità economiche allineate con gli interessi prioritari di Pechino delineati nel 13° e 14° Piano quinquennale della Cina.
• Utilizzo di una stringa Pinyin (wuxianpinggu507) per la chiave XOR di SIGTRANslatore la password per alcuni servizi proxy remoti di LIMINAL PANDA. Questo testo Pinyin si traduce in “valutazione wireless 507” o “valutazione illimitata 507”. “Valutazione wireless” è probabilmente la traduzione corretta, dato che il malware viene utilizzato per colpire i sistemi di telecomunicazione. Questo termine è anche simile al dominio wuxiapingg[.]ga, che in precedenza era ospitato su un indirizzo IP associato a LIMINAL PANDA. Diversi altri nomi di dominio che si sovrappongono all’infrastruttura di LIMINAL PANDA utilizzano anche rappresentazioni Pinyin di termini mandarini, suggerendo ulteriormente che gli attori associati all’infrastruttura del gruppo probabilmente parlano cinese.
• Utilizzo del nome di dominio wuxiapingg[.]ga come infrastruttura di consegna e C2 per Cobalt Strike, uno strumento di accesso remoto (RAT) disponibile in commercio che gli attori di China-nexus utilizzano spesso.
• Utilizzo di Fast Reverse Proxy e della backdoor TinyShell disponibile pubblicamente, entrambi utilizzati da diversi avversari cinesi, tra cui SUNRISE PANDA e HORDE PANDA.
• Utilizzo dell’infrastruttura VPS fornita da Vultr, un provider comunemente – anche se non esclusivamente – utilizzato da avversari e attori di China-nexus.

Raccomandazioni

Le attività di intrusione note di LIMINAL PANDA hanno tipicamente abusato dei rapporti di fiducia tra i fornitori di telecomunicazioni e delle lacune nei criteri di sicurezza, consentendo all’avversario di accedere all’infrastruttura principale da host esterni.

Queste raccomandazioni possono essere implementate per contribuire alla protezione contro l’attività descritta in questo blog:

• Implementare una soluzione EDR (Endpoint Protection and Response) avanzata e in tempo reale, come CrowdStrike Falcon®, in tutto l’ambiente di rete, compresi i server considerati inaccessibili da Internet.
• Implementare strategie di password complesse – evitando opzioni predefinite o generiche – per l’autenticazione SSH o utilizzare metodi più sicuri come l’autenticazione con chiave SSH, in particolare sui server che accettano connessioni da organizzazioni esterne (ad esempio, i server eDNS).
• Ridurre il numero di servizi accessibili al pubblico che operano su server che accettano connessioni da organizzazioni esterne a quelli necessari per l’interoperabilità organizzativa.
• Applicare le politiche di controllo dell’accesso alla rete interna per i server in base al ruolo e ai requisiti (ad esempio, ridurre al minimo le possibilità di accesso dai server eDNS ad altri dispositivi di gestione e all’infrastruttura di rete, a meno che non sia necessario per scopi di amministrazione); in questi casi, l’accesso deve essere limitato da meccanismi di autenticazione sicuri.
• Registrare le connessioni SSH tra i server interni e monitorarle per rilevare attività anomale.
• Verificare le regole iptables implementate sui server, controllando la presenza di voci anomale che consentono l’accesso in entrata da indirizzi IP esterni sconosciuti.
• Utilizzare meccanismi di controllo dell’integrità dei file sui file binari dei servizi di sistema critici, come iptables, per identificare se sono stati modificati o sostituiti in modo inaspettato.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli