CrowdStrike：国家级骇客UNC1945过去两年内入侵全球13家电信业者

美国资安业者CrowdStrike本周揭露，有一国家级骇客UNC1945（又名LightBasin）从2016年起，就开始利用客制化的工具及对电信网络的熟稔，持续锁定电信业者展开攻击，进行长期的间谍活动，从2019年迄今，全球至少有13家电信业者受害。

资安业者FireEye曾于去年底指出，UNC1945积极开采甲骨文Solaris Server的安全漏洞，至少是在2018年就曾骇进某个企业的Solaris服务器，而且潜伏长达五百多天。

CrowdStrike的分析亦显示，UNC1945专门针对电信系统的Linux与Solaris服务器展开攻击，只有在必要时会与Windows互动，推测是因为电信业者经常在重要系统上执行Linux与Solaris平台，而且这些平台的安全与监控解决方案通常不如Windows。

UNC1945先是透过密码喷洒（password-spraying）手法入侵电信业者的外部DNS服务器（eDNS），接着部署Slapstick Pam后门程式以窃取凭证，于系统内横向移动时伺机植入更多的Slapstick Pam。

在相关的攻击中，UNC1945结合了开源的Unix后门程式TinyShell与Serving GPRS Support Node（SGSN）模拟软件，来支援控制暨命令服务器（C&C）的活动，以伪装成合法流量；也使用了电信系统扫描程式CordScan，可绕过电信协定传输资料的SIGTRANslator，以及开源的Fast Reverse Proxy、Microsocks Proxy与ProxyChains等工具。

CrowdStrike发现，UNC1945的主要目标是行动通讯基础设施上的特定资讯，包括订阅用户的资讯或是通话的元资料，从骇客感兴趣的资讯来看，应该是替情报组织执行间谍任务。

虽然研究人员并没有足够的证据来判断UNC1945的来源，但UNC1945以SIGTRANslator连结C&C服务器所使用的加密金钥为wuxianpinggu507，猜测打造该工具的开发者应是熟悉中文拼音的人士。

根据《卫报》（The Guardian）的说法，过去这些锁定电信网络的间谍行动通常来自于诸如美国或英国等西方国家，若UNC1945果真源自中国，那么将是首宗被揭露的东方电信网络间谍行动。