# LightBasin Trojan > Tipo: **trojan** · S1083 · [MITRE ATT&CK](https://attack.mitre.org/software/S1083) ## Descrição O [[s1083-lightbasin-trojan|LightBasin Trojan]] (também rastreado como SLAPSTICK e OPZEPPELIN) é um conjunto de trojans e ferramentas de pós-exploração utilizados pelo grupo [[lightbasin|LightBasin]] em suas campanhas contra infraestrutura de telecomúnicações. Diferentemente do [[s1081-lightbasin-backdoor|LightBasin Backdoor]] que fornece acesso remoto geral, o [[s1083-lightbasin-trojan|LightBasin Trojan]] é especializado em comprometimento do processo de autenticação Unix/Linux ([[t1556-modify-authentication-process|T1556]]) para capturar credenciais de usuários que fazem login nos sistemas comprometidos, e em sniffing de tráfego de rede ([[t1040-network-sniffing|T1040]]) para capturar dados de protocolo de telecomúnicações. O componente SLAPSTICK é específicamente um trojan PAM (Pluggable Authentication Modules) que captura credenciais de usuários durante processos de autenticação no sistema, comprometendo o binário de autenticação legítimo ([[t1554-compromise-host-software-binary|T1554]]). O componente OPZEPPELIN é um sniffer especializado em protocolos de telecomúnicações (GTP, Diameter, SS7) que captura dados de roaming e comúnicações de assinantes. Ambos os componentes exfiltram dados coletados ([[t1041-exfiltration-over-c2-channel|T1041]]) e utilizam ofuscação ([[t1027-obfuscated-files-or-information|T1027]]) para minimizar detecção. A sofisticação do [[s1083-lightbasin-trojan|LightBasin Trojan]] - especialmente no comprometimento de módulos PAM e na instrumentação de protocolos de telecomúnicações especializados como GTP e Diameter - requer profundo conhecimento técnico de sistemas Unix de operadoras de telecomúnicações. Este nível de especialização é consistente com um grupo patrocinado por um Estado com objetivos de inteligência de comúnicações de alto nível, possívelmente interessado em rastrear movimentação de indivíduos específicos via dados de roaming e interceptar metadados de comúnicações móveis. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1040-network-sniffing|T1040 - Network Sniffing]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1554-compromise-host-software-binary|T1554 - Compromise Host Software Binary]] ## Detecção Detecção do [[s1083-lightbasin-trojan|LightBasin Trojan]] requer verificação de integridade de binários críticos do sistema. Indicadores: checksums alterados de módulos PAM (/etc/pam.d/, libpam*.so) em relação a versões de pacotes conhecidas; processos não-documentados com handles abertos em interfaces de rede em modo promíscuo (sniffing); e arquivos de log de autenticação com anomalias (usuários sendo autenticados sem atividade correspondente de rede). Ferramentas de monitoramento de integridade de arquivos (aide, OSSEC, Tripwire) são essenciais para detectar comprometimentos de binários PAM. ## Relevância LATAM/Brasil O [[s1083-lightbasin-trojan|LightBasin Trojan]] é diretamente relevante para operadoras de telecomúnicações no Brasil. A capacidade de comprometer módulos PAM e sniffar tráfego de protocolos de telecomúnicações como SS7 e Diameter representa uma ameaça grave à privacidade de comúnicações móveis brasileiras. Um comprometimento bem-sucedido de uma operadora brasileira via [[s1083-lightbasin-trojan|LightBasin Trojan]] permitiria rastreamento de indivíduos específicos, interceptação de OTPs enviados por SMS e coleta de metadados de comúnicações em escala. Reguladores como a ANATEL devem incluir auditorias de segurança de sistemas Unix de infraestrutura em seus requisitos de conformidade. ## Referências - [MITRE ATT&CK - S1083](https://attack.mitre.org/software/S1083)