# UNC1945 > [!danger] Ameaça Especializada — Operadoras de Telecom Globais > **UNC1945** (também rastreado como **LightBasin**) é um grupo de espionagem altamente especializado em comprometer operadoras de telecomúnicações. Em 2021, a CrowdStrike identificou o grupo em 13 empresas de telecom em múltiplos continentes, com foco em dados de assinantes e comúnicações interceptadas. ## Visão Geral UNC1945, rastreado pela CrowdStrike como "LightBasin", é um grupo de ameaça sofisticado e especializado em infraestrutura de telecomúnicações, ativo desde pelo menos 2016. A CrowdStrike públicou um relatório detalhado em 2021 documentando o comprometimento de 13 operadoras de telecomúnicações em múltiplos continentes — uma das campanhas de espionagem de telecom mais abrangentes já documentadas. O grupo demonstra conhecimento profundo da arquitetura técnica de redes de telecomúnicações, incluindo sistemas GPRS (General Packet Radio Service), eDNS (External Domain Name System) e sistemas de roaming inter-operadora. Esse conhecimento especializado indica operadores com treinamento técnico específico em infraestrutura de telecomúnicações. A atribuição do grupo permanece inconclusiva na literatura pública, mas o perfil de alvos (dados de assinantes, metadados de comúnicações, informações de roaming) é consistente com espionagem de inteligência de sinais (SIGINT) patrocinada por estado. ## Attack Flow ```mermaid flowchart LR A[Acesso Inicial\nSistemas GPRS expostos\nSSH de operadoras parceiras] --> B[Persistência\nTinyShell backdoor\nRootkits Linux] B --> C[Movimento Lateral\nRedes de telecomúnicações\nSistemas de roaming] C --> D[Coleta\nDados de assinantes\nMetadados de chamadas] D --> E[Exfiltração\nInfraestrutura de telecom\nDados de inteligência] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Sistemas GPRS | [[t1190-exploit-public-facing-application\|T1190]] | Infraestrutura GPRS e eDNS | | Backdoor Linux | [[t1059-command-and-scripting-interpreter\|T1059]] | TinyShell, backdoors customizados | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais de sistemas de roaming | | Deploy de Ferramentas | [[t1105-ingress-tool-transfer\|T1105]] | Rootkits e ferramentas de SIGINT | ## Detecção e Defesa - Auditar configurações de firewall em sistemas GPRS e interfaces de roaming - Monitorar acesso a bases de dados de assinantes por processos não autorizados - Implementar monitoramento de integridade de arquivos em servidores de telecomúnicações - Revisar acordos de roaming com operadoras parceiras por acesso suspeito - Consultar IOCs do relatório CrowdStrike LightBasin (2021) ## Referências - CrowdStrike: LightBasin — UNC1945 targeting telecomúnicações (2021) - MITRE ATT&CK: Técnicas mapeadas da campanha LightBasin - SentinelOne: LIGHTBASIN inter-carrier connections analysis (2021) - GSMA: Telecomúnicações — Guias de segurança para infraestrutura GPRS