# LightBasin Backdoor > Tipo: **backdoor** · S1081 · [MITRE ATT&CK](https://attack.mitre.org/software/S1081) ## Descrição O [[s1081-lightbasin-backdoor|LightBasin Backdoor]] (também referênciado como TINYSHELL) é um backdoor Unix/Linux atribuído ao grupo [[lightbasin|LightBasin]] (UNC1945), um ator de ameaça altamente sofisticado identificado pela CrowdStrike em 2021 como responsável por campanhas de espionagem focadas específicamente em empresas de telecomúnicações em múltiplos países simultaneamente. O [[lightbasin|LightBasin]] comprometeu pelo menos 13 operadoras de telecomúnicações ao redor do mundo, com o [[s1081-lightbasin-backdoor|LightBasin Backdoor]] servindo como implante persistente nos sistemas Unix/Linux de infraestrutura crítica de telecomúnicações. O [[s1081-lightbasin-backdoor|LightBasin Backdoor]] é baseado no TINYSHELL open-source mas com modificações significativas para operação furtiva em ambientes Unix. Suas capacidades incluem execução de comandos Unix shell ([[t1059-004-unix-shell|T1059.004]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]), exfiltração de dados ([[t1041-exfiltration-over-c2-channel|T1041]]) e comunicação C2 cifrada com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]) via HTTP ([[t1071-001-web-protocols|T1071.001]]). Persistência em sistemas Linux é mantida via Launch Daemon ([[t1543-004-launch-daemon|T1543.004]]). O malware é ofuscado ([[t1027-obfuscated-files-or-information|T1027]]) para dificultar análise. A especialização do [[lightbasin|LightBasin]] em infraestrutura de telecomúnicações - específicamente em sistemas GPRS (General Packet Radio Service) que permitem interceptação de tráfego de dados móveis e rastreamento de assinantes - sugere objetivos de inteligência de comúnicações de nível estatal. O acesso a sistemas GPRS de múltiplas operadoras simultaneamente ofereceria capacidade de vigilância massiva de comúnicações móveis em escala global, tornando o [[lightbasin|LightBasin]] um dos atores mais perigosos para privacidade e segurança de comúnicações globais. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] ## Detecção Detecção do [[s1081-lightbasin-backdoor|LightBasin Backdoor]] requer monitoramento especializado de sistemas Unix/Linux em infraestrutura de telecomúnicações. Indicadores: processos daemon desconhecidos com comúnicações de rede cifradas; Launch Daemons criados em /etc/init.d ou /etc/systemd fora de processos de instalação de software; e acesso a sistemas GPRS/GTP por processos não-documentados. A CrowdStrike públicou relatório técnico detalhado sobre o [[lightbasin|LightBasin]] com IOCs e padrões de detecção para sistemas de telecomúnicações. ## Relevância LATAM/Brasil O [[lightbasin|LightBasin]] comprometeu operadoras de telecomúnicações em múltiplos continentes, e as principais operadoras brasileiras (Claro/América Móvil, Vivo/Telefônica, TIM, Oi) são alvos potenciais de alta relevância dado o tamanho do mercado de telecomúnicações brasileiro e seus vínculos internacionais. Um comprometimento de infraestrutura GPRS de operadoras brasileiras via [[s1081-lightbasin-backdoor|LightBasin Backdoor]] teria implicações graves para privacidade de comúnicações móveis de mais de 200 milhões de usuários brasileiros. As operadoras devem incluir varredura de segurança em seus sistemas Unix/Linux de infraestrutura crítica. ## Referências - [MITRE ATT&CK - S1081](https://attack.mitre.org/software/S1081)