# LightBasin > [!high] Backdoor Sofisticado em Telecomúnicações — Ativo desde 2016 > LightBasin é o nome dado ao cluster de atividade UNC1945, um ator de ameaça altamente sofisticado que comprometeu pelo menos 13 operadoras de telecomúnicações em múltiplos continentes entre 2016 e 2021. O grupo desenvolve e usa backdoors customizados para Linux/Unix e técnicas avançadas de persistência em sistemas de telecomúnicações. ## Visão Geral LightBasin (também rastreado como UNC1945) é um cluster de atividade de espionagem cibernética documentado pela CrowdStrike em 2021, ativo desde pelo menos 2016. O grupo comprometeu pelo menos 13 provedores de telecomúnicações globais, demonstrando profundo conhecimento técnico de sistemas e protocolos específicos do setor, como GPRS Tunneling Protocol (GTP), eDNS (External DNS) e SIGTRAN — protocolos usados em redes móveis que raramente são monitorados por equipes de segurança. O arsenal técnico do LightBasin inclui backdoors customizados para Linux e sistemas Unix, incluindo implants específicos para hardware de operadoras como roteadores de borda e servidores SS7. O grupo usa emuladores de terminal SGSN para mascarar comúnicações maliciosas como tráfego legítimo de rede móvel, e desenvolve ferramentas específicas para cada alvo com base no sistema operacional e infraestrutura encontrados. O objetivo principal do LightBasin é a **coleta de inteligência** sobre assinantes de telecomúnicações — incluindo metadados de chamadas, mensagens SMS e dados de localização — indicando missão de espionagem estatal ou apoio a operações de inteligência. > [!latam] Relevância para o Brasil e LATAM > O setor de **telecomúnicações** do Brasil — com operadoras como Vivo, Claro, TIM e Oi servindo centenas de milhões de usuários — é potencialmente interessante para atores de espionagem que buscam metadados de comúnicações em larga escala. A ANATEL e operadoras brasileiras devem considerar a ameaça ao implementar monitoramento de protocolos GTP, SS7 e Diameter em suas redes de núcleo. O precedente do LightBasin mostra que operadoras de telecomúnicações podem ser comprometidas por anos sem detecção. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas de administração de rede | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Implants customizados sem assinatura conhecida | | C2 | [[t1071-application-layer-protocol\|T1071]] | Comúnicação via protocolos de telecomúnicações (GTP, SIGTRAN) | | C2 | [[t1090-proxy\|T1090]] | Uso de infraestrutura de telecom comprometida como proxy | ## Detecção - Monitorar tráfego GTP e SIGTRAN para conexões externas inesperadas - Auditar acessos a sistemas de administração de rede por contas de serviço - Implementar detecção de anomalias em protocolos SS7 e Diameter - Correlacionar eventos de múltiplos sistemas de rede de núcleo ## Referências - [CrowdStrike - LightBasin: A Roaming Threat to Telecommúnications Companies (2021)](https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-a-sophisticated-threat-actor-targeting-telecommunications-companies/) - [Securelist - Telecom-Targeting APT Analysis](https://securelist.com/)