图片源于:https://www.darkreading.com/threat-intelligence/china-liminal-panda-telcos-phone-data
近日,CrowdStrike的高级副总裁、反对手作战部门负责人亚当·迈尔斯(Adam Meyers)于11月19日在美国参议院司法小组委员会就中国网络威胁对关键基础设施的影响作证,揭示了一个名为Liminal Panda的新兴威胁行为者。该组织专注于从电信网络中获取情报,已经在亚洲和非洲的移动电话上进行间谍活动超过四年。
Liminal Panda自2020年以来,利用网络攻击渗透并在各地区的电信公司之间移动,以收集SMS信息、唯一识别码和与移动电话相关的其他元数据,这些数据可能对中国国家具有政治或经济利用价值。
Liminal Panda的作战方式
尽管其目标是获取电信渠道中传输的数据,但Liminal Panda的攻击方式通常看起来与普通的网络入侵并无二致。迈尔斯解释道:“您的手机有一个与基站控制器通信的无线电。这些基站通常通过类似互联网的协议互相连接,而一些攻击者可能会专注于这些基站及其传输,但Liminal Panda则针对支撑系统的IT网络基础设施。”
“他们将通过电信公司的网关进入,而内部通常有许多传统的IT系统。”
进入电信公司的网络后,Liminal Panda可以利用工具收集通话和短信记录,及其他敏感的身份数据。这些数据不仅可以是大规模的,也可以是针对个人的特定信息。“当您从移动设备发送短信时,它会通过SMS发送到基站,然后被传送回电信公司的核心。”迈尔斯进一步解释了Liminal Panda恶意软件如何在这个中间步骤中发挥作用。
为了促进信息的提取,该组织的指挥与控制(C2)设置模拟了全球移动通信系统(GSM)。GSM是一种移动通信标准,能够实现呼叫、短信和移动数据的使用,是全球最广泛使用的移动通信标准,覆盖超过193个国家。
跨电信公司跳跃
除了攻击特定电信公司外,Liminal Panda还被观察到在不同电信公司之间跳跃。“当您从一个国家转移到另一个国家时,您需要实现互操作性。而实现这一点需要大量的基础设施。”
“电信服务提供商之间的开放通信线路及其长期基础设施也可以被武器化。”迈尔斯补充道。“中国有多个威胁行为者真正了解电信基础设施是如何工作的,他们能够利用这些信息在不同的电信公司之间移动。”
尽管对行业特定协议有深入的理解,但Liminal Panda简单地通过滥用域名系统(DNS)也实现了在不同供应商之间的跳跃。在一次攻击活动的结束时,该组织往往会建立多个冗余的通道,以便在供应商之间进行旅行。
中国的最终目标
专制政府长期以来利用电信入侵对外国官员、内部政治异议人士、记者和学者进行监视。“所有这些团体都在针对电信公司进行大规模收集,因为这为他们提供了之后关注个体的机会——查看他们在发短信、打电话和与谁在一起。”迈尔斯解释道。
如果Liminal Panda确实在代表中国行动,正如CrowdStrike所评估的那样(评估的信心相对较低),那么这种间谍活动可能还有双重经济利益。在他的参议院证词中,迈尔斯强调了“一带一路”倡议、“中国制造2025”、2035愿景、“全球中国2049”以及国家定期的五年计划等重大国家项目为经济间谍活动提供的动力。
“如果您在该地区进行交易,我想知道您与谁会面。如果您发送有关交易的短信,我可以收集这些信息。”他说。“或者如果您与对我来说政治上有问题的人会面,我可以拦截这些信息。”
