GTPDOOR malware

Bezpečnostní analytici identifikovali linuxový malware s názvem GTPDOOR, který je navržen výslovně pro nasazení v telekomunikačních sítích v blízkosti GPRS roamingových ústředen (GRX). Jeho inovativní využití protokolu GPRS Tunneling Protocol (GTP) pro komunikaci Command-and-Control (C2) odlišuje tento malware. Roaming GPRS umožňuje předplatitelům přístup ke službám GPRS mimo pokrytí jejich domácí mobilní sítě. To je umožněno prostřednictvím GRX, které usnadňuje přenos roamingového provozu pomocí GTP mezi navštívenou a domácí veřejnou pozemní mobilní sítí (PLMN).

Odborníci se domnívají, že zadní vrátka GTPDOOR jsou potenciálně propojena s uznávaným aktérem hrozby, LightBasinem (také známým jako UNC1945). Tato specifická skupina kyberzločinců byla spojena s řadou útoků zaměřených na telekomunikační sektor s cílem ukrást informace o účastnících a metadata hovorů.

Malware GTPDOOR poskytuje nelegální přístup kyberzločincům

Po spuštění GTPDOOR zahájí své operace změnou názvu procesu na '[syslog],' maskující se jako syslog vyvolaný z jádra. Přijme opatření k potlačení dětských signálů a pokračuje k otevření surového soketu, což umožňuje implantátu zachytit UDP zprávy nasměrované na síťová rozhraní.

GTPDOOR v podstatě poskytuje cestu pro aktéra hrozby se zavedenou perzistencí na roamingové výměnné síti, jak komunikovat s kompromitovaným hostitelem. Této komunikace je dosaženo přenosem zpráv GTP-C Echo Request obsahujících škodlivý náklad. Zpráva GTP-C Echo Request slouží jako kanál pro odesílání příkazů, které mají být provedeny na infikovaném počítači, a předávání výsledků zpět vzdálenému hostiteli.

GTPDOOR lze diskrétně otestovat z externí sítě a spustit odpověď odesláním paketu TCP na libovolné číslo portu. Pokud je implantát aktivní, vrátí vytvořený prázdný TCP paket spolu s informací o tom, zda byl cílový port na hostiteli otevřený nebo reagoval.

Zdá se, že tento implantát je přizpůsoben pro umístění na kompromitovaných hostitelích přímo připojených k síti GRX – jedná se o systémy, které komunikují s jinými sítěmi telekomunikačních operátorů prostřednictvím GRX.

Malware GTPDOOR po aktivaci provede několik ohrožujících akcí

GTPDOOR se zapojuje do různých škodlivých aktivit, včetně naslouchání konkrétnímu paketu probuzení, který je identifikován jako GTP-C echo request message (GTP typ 0x01). Je pozoruhodné, že hostitel nevyžaduje aktivní naslouchací sokety nebo služby, protože všechny UDP pakety jsou přijímány do uživatelského prostoru otevřením surového soketu. Kromě toho je GTPDOOR navržen tak, aby provedl příkaz na hostiteli specifikovaném v magickém paketu, vrátil výstup vzdálenému hostiteli a podporoval funkci typu „reverse shell“. Požadavky i odpovědi jsou přenášeny jako zprávy GTP_ECHO_REQUEST a GTP_ECHO_RESPONSE.

Implantát lze diskrétně otestovat z externí sítě a vyžádat si odpověď odesláním paketu TCP na libovolné číslo portu. Pokud je implantát aktivní, vrací vytvořený prázdný TCP paket, který poskytuje informace o tom, zda byl cílový port na hostiteli otevřený nebo reagoval.

Z bezpečnostních důvodů GTPDOOR ověřuje a šifruje obsah magických zpráv GTP paketů pomocí jednoduché šifry XOR. Za běhu může být instruován, aby změnil svůj ověřovací a šifrovací klíč pomocí nového klíče, čímž se zabrání tomu, aby výchozí klíč pevně zakódovaný v binárním kódu byl použit jinými aktéry hrozeb. Aby GTPDOOR zapadl do prostředí, změní svůj název procesu tak, aby připomínal proces syslog vyvolaný jako vlákno jádra. Důležité je, že funguje bez nutnosti změn vstupní brány firewall, pokud má cílový hostitel povoleno komunikovat přes port GTP-C.