China-gestützte Hacker nutzen Telekommunikationsprotokolle für Cyberangriffe

MÜNCHEN (IT BOLTWISE) – Eine neue Cyber-Spionagegruppe mit Verbindungen zu China hat gezielte Angriffe auf Telekommunikationsunternehmen in Südasien und Afrika durchgeführt, um Informationen zu sammeln.

In der Welt der Cyberkriminalität gibt es ständig neue Bedrohungen, die Unternehmen und Regierungen gleichermaßen herausfordern. Eine dieser Bedrohungen ist die Gruppe Liminal Panda, die von der Cybersicherheitsfirma CrowdStrike identifiziert wurde. Diese Gruppe hat seit mindestens 2020 Telekommunikationsunternehmen in Südasien und Afrika ins Visier genommen, um sensible Informationen zu sammeln. Liminal Panda verfügt über tiefgehendes Wissen über Telekommunikationsnetzwerke und die zugrunde liegenden Protokolle, was ihnen ermöglicht, gezielte Angriffe durchzuführen.

Die Hackergruppe nutzt eine Vielzahl von speziell entwickelten Tools, um unbemerkt in Netzwerke einzudringen, die Kontrolle zu übernehmen und Daten zu exfiltrieren. Zu den eingesetzten Werkzeugen gehören SIGTRANslator, CordScan und PingPong. SIGTRANslator ist ein Linux-ELF-Binary, das Daten über SIGTRAN-Protokolle senden und empfangen kann. CordScan dient der Netzwerksuche und Paketaufzeichnung, während PingPong als Hintertür fungiert, die auf spezielle ICMP-Echoanforderungen reagiert und eine TCP-Rückverbindung herstellt.

Ein bemerkenswerter Aspekt der Angriffe ist die Nutzung von Mobilfunkprotokollen wie GSM, um die Kommando- und Kontrollkommunikation zu ermöglichen. Die Angreifer haben auch Tools entwickelt, um Informationen über Mobilfunkteilnehmer, Anrufmetadaten und SMS zu sammeln. Diese Vorgehensweise zeigt, wie tief die Kenntnisse der Gruppe über die Telekommunikationsinfrastruktur sind und wie sie diese ausnutzen, um ihre Ziele zu erreichen.

Die Angriffe von Liminal Panda sind nicht die ersten ihrer Art. Bereits 2021 dokumentierte CrowdStrike ähnliche Aktivitäten, die damals einer anderen Gruppe namens LightBasin zugeschrieben wurden. Diese Gruppe ist seit 2016 bekannt für Angriffe auf Telekommunikationsunternehmen. Eine umfassende Überprüfung der Kampagne ergab jedoch, dass es sich um einen neuen Bedrohungsakteur handelt, was die Herausforderungen bei der Zuordnung solcher Angriffe verdeutlicht.

Die Angriffe zielen darauf ab, Netzwerktelemetrie und Teilnehmerinformationen zu sammeln oder andere Telekommunikationsunternehmen zu kompromittieren. Liminal Panda nutzt dabei Schwachstellen in den Sicherheitsrichtlinien und das Vertrauen zwischen Telekommunikationsanbietern aus, um auf die Kerninfrastruktur zuzugreifen. Diese Vorfälle unterstreichen die Verwundbarkeit von Telekommunikations- und anderen kritischen Infrastrukturen gegenüber staatlich unterstützten Angreifern.

Die Offenlegung dieser Angriffe erfolgt zu einem Zeitpunkt, an dem auch US-amerikanische Telekommunikationsanbieter wie AT&T, Verizon und T-Mobile Ziel einer anderen China-nahen Hackergruppe namens Salt Typhoon geworden sind. Diese Vorfälle verdeutlichen die Bedrohung, die von staatlich unterstützten Cyberangriffen ausgeht, und die Notwendigkeit, die Sicherheitsmaßnahmen in der Telekommunikationsbranche zu verstärken.

Die chinesische Cyberoffensive wird von Experten als gemeinschaftliches Unterfangen beschrieben, das sowohl staatlich unterstützte Einheiten als auch zivile Akteure und private Unternehmen umfasst. Diese arbeiten zusammen, um Schwachstellen zu erforschen und Angriffswerkzeuge zu entwickeln. Die Beziehungen zwischen diesen Akteuren werden durch die Nähe der beteiligten Personen und die Politik der Kommunistischen Partei Chinas gestärkt.