國家級駭客UNC1945浮出檯面，過去兩年內入侵全球13家電信業者

美國資安業者CrowdStrike本周揭露，有一國家級駭客UNC1945（又名LightBasin）從2016年起，就開始利用客製化的工具及對電信網路的熟稔，持續鎖定電信業者展開攻擊，進行長期的間諜活動，從2019年迄今，全球至少有13家電信業者受害。

資安業者FireEye曾於去年底指出，UNC1945積極開採甲骨文Solaris Server的安全漏洞，至少是在2018年就曾駭進某個企業的Solaris伺服器，而且潛伏長達五百多天。

CrowdStrike的分析亦顯示，UNC1945專門針對電信系統的Linux與Solaris伺服器展開攻擊，只有在必要時會與Windows互動，推測是因為電信業者經常在重要系統上執行Linux與Solaris平臺，而且這些平臺的安全與監控解決方案通常不如Windows。

UNC1945先是透過密碼噴灑（password-spraying）手法入侵電信業者的外部DNS伺服器（eDNS），接著部署Slapstick Pam後門程式以竊取憑證，於系統內橫向移動時伺機植入更多的Slapstick Pam。

在相關的攻擊中，UNC1945結合了開源的Unix後門程式TinyShell與Serving GPRS Support Node（SGSN）模擬軟體，來支援控制暨命令伺服器（C&C）的活動，以偽裝成合法流量；也使用了電信系統掃描程式CordScan，可繞過電信協定傳輸資料的SIGTRANslator，以及開源的Fast Reverse Proxy、Microsocks Proxy與ProxyChains等工具。

CrowdStrike發現，UNC1945的主要目標是行動通訊基礎設施上的特定資訊，包括訂閱用戶的資訊或是通話的元資料，從駭客感興趣的資訊來看，應該是替情報組織執行間諜任務。

雖然研究人員並沒有足夠的證據來判斷UNC1945的來源，但UNC1945以SIGTRANslator連結C&C伺服器所使用的加密金鑰為wuxianpinggu507，猜測打造該工具的開發者應是熟悉中文拼音的人士。

根據《衛報》（The Guardian）的說法，過去這些鎖定電信網路的間諜行動通常來自於諸如美國或英國等西方國家，若UNC1945果真源自中國，那麼將是首宗被揭露的東方電信網路間諜行動。