A empresa de cibersegurança CrowdStrike está alertando para um grupo de hackers que têm invadido 13 empresas de telecomunicações ao redor do mundo desde 2019. A suspeita é que eles estejam baseados na China.
Conhecido como LightBasin, o grupo conseguiu “buscar e encontrar” aparelhos de telefone individuais, escolhendo vítimas específicas, de acordo com a CrowdStrike.
Algumas das informações que foram acessadas pelos invasores incluem dados de clientes, mantidos pelas empresas de telefonia, e metadados mostrando os remetentes e destinatários de chamadas telefônicas.
De acordo com o grupo de cibersegurança, a suspeita é que os hackers sejam apoiados pelo governo chinês e que estejam reunindo informações que possam ser do interesse de organizações de inteligência.
Por enquanto, ainda não há evidências concretas que sustentem essa teoria. Ainda assim, a CrowdStrike afirma que há indícios de que o LightBasin estava atuando com o apoio de outros grupos conhecidos da China e que costumam realizar ataques direcionados a Beijing.
Técnicas avançadas de ciberespionagem
De acordo com a análise da CrowdStrike, os hackers utilizaram técnicas avançadas que permitiram que eles acessassem dados sensíveis sem a necessidade de implantar malware ou utilizar qualquer outro método para infectar os dispositivos.
Os pesquisadores acreditam que o grupo vem atuando desde 2016, pelo menos, mas foi apenas recentemente que a CrowdStrike conseguiu reunir informações suficientes sobre a atividade e as ferramentas envolvidas para identificá-los.
Apesar de citar que os ataques atingiram 13 companhias de telecomunicações, a empresa de cibersegurança não detalhou os nomes das vítimas.
A estratégia adotada pelo LightBasin consiste em coletar as informações durante transferências de dados, sem a necessidade de infectar o dispositivo móvel, já que os dados são coletados no meio do caminho.
Os principais alvos do grupo são sistemas baseados em Linux e Solaris. O seu método consiste em implantar backdoors para invadir as redes das vítimas e, assim, coletar dados relevantes.
O LightBasin direcionou seus ataques a servidores DNS externos, sistemas de plataformas de entrega de serviços e sistemas de suporte a operações. Eles fazem parte do chamado “General Packet Radio Service” (GPRS), que permite a transferência de dados entre diferentes empresas de telefonia.
Ainda de acordo com a CrowdStrike, o grupo utilizou um software especial para imitar os pontos de acesso de rede GPRS e um backdoor chamado TinyShell para estabelecer suas operações.
As atividades mais arriscadas e evidentes foram programadas para ocorrer apenas durante 30 minutos diariamente, fazendo com que elas parecessem uma ocorrência previsível e rotineira.
Agências de inteligência focam em empresas de telecomunicações
Empresas de telecomunicações costumam ser alvo de invasões motivadas por ciberespionagem. Incidentes anteriores já foram associados a atividades conduzidas por agências de inteligência como a NSA (National Security Agency), dos Estados Unidos, e a GCHQ (Government Communications Headquarters), do Reino Unido.
Especialistas afirmam que, mais recentemente, ataques hackers provenientes da China estão crescendo rapidamente, mas caracterizam as atividades como uma forma de ciberguerra de baixo nível e que tem focado em propriedade intelectual — mas que também inclui ações de espionagem.
Em meio aos conflitos com os Estados Unidos, principalmente durante as disputas entre Huawei e o governo Trump, a China sempre negou seu envolvimento em atividades hacker, apesar das tentativas de países ocidentais de cobrar uma resposta ao problema.
A CrowdStrike recomenda que as empresas de telefonia reforcem as regras de firewall para GPRS a fim de permitir o tráfego de rede apenas para os protocolos esperados. Já no caso de companhias que já foram vítimas do ataque, a empresa de cibersegurança ressalta que é necessário ativar uma equipe de resposta a incidentes.
