البرامج الضارة GTPDOOR

حدد محللو الأمن برنامجًا ضارًا لنظام التشغيل Linux يُسمى GTPDOOR، والذي تم تصميمه بشكل واضح للنشر داخل شبكات الاتصالات القريبة من تبادلات تجوال GPRS (GRX). إن استخدامه المبتكر لبروتوكول نفق GPRS (GTP) لاتصالات القيادة والتحكم (C2) يميز هذه البرامج الضارة. يتيح تجوال GPRS للمشتركين الوصول إلى خدمات GPRS الخاصة بهم عندما يكونون خارج تغطية شبكة الهاتف المحمول المنزلية الخاصة بهم. أصبح هذا ممكنًا من خلال GRX، الذي يسهل نقل حركة التجوال باستخدام GTP بين شبكة الهاتف المحمول الأرضية العامة (PLMN) التي تمت زيارتها والمنزل.

يشتبه الخبراء في أن الباب الخلفي GTPDOOR من المحتمل أن يكون متصلاً بممثل تهديد معروف، وهو LightBasin (المعروف أيضًا باسم UNC1945). وقد تم ربط هذه المجموعة المحددة من مجرمي الإنترنت بسلسلة من الهجمات التي تستهدف قطاع الاتصالات، بهدف سرقة معلومات المشتركين وبيانات تعريف المكالمات.

توفر البرامج الضارة GTPDOOR وصولاً غير قانوني لمجرمي الإنترنت

عند التنفيذ، يبدأ GTPDOOR عملياته عن طريق تغيير اسم العملية الخاص به إلى "[syslog]"، متنكرًا في شكل سجل نظام تم استدعاؤه من kernel. فهو يتخذ إجراءات لقمع إشارات الطفل ويشرع في فتح مأخذ توصيل خام، مما يمكّن الغرسة من اعتراض رسائل UDP الموجهة إلى واجهات الشبكة.

في جوهر الأمر، يوفر GTPDOOR وسيلة لممثل التهديد الذي يتمتع بثبات ثابت على شبكة تبادل التجوال للتواصل مع مضيف مخترق. يتم تحقيق هذا الاتصال عن طريق إرسال رسائل طلب صدى GTP-C التي تحتوي على حمولة ضارة. تعمل رسالة طلب الصدى GTP-C بمثابة قناة لإرسال الأوامر ليتم تنفيذها على الجهاز المصاب ونقل النتائج مرة أخرى إلى المضيف البعيد.

يمكن فحص GTPDOOR بشكل سري من شبكة خارجية، مما يؤدي إلى الاستجابة عن طريق إرسال حزمة TCP إلى أي رقم منفذ. إذا كانت عملية الزرع نشطة، فإنها تقوم بإرجاع حزمة TCP فارغة، بالإضافة إلى معلومات حول ما إذا كان منفذ الوجهة مفتوحًا أو مستجيبًا على المضيف.

يبدو أن هذه الغرسة مصممة خصيصًا للتواجد على أجهزة مضيفة مخترقة متصلة مباشرة بشبكة GRX - وهي أنظمة تتواصل مع شبكات مشغلي الاتصالات الأخرى عبر GRX.

تنفذ البرامج الضارة GTPDOOR العديد من الإجراءات التهديدية بمجرد تنشيطها

يشارك GTPDOOR في العديد من الأنشطة الضارة، بما في ذلك الاستماع لحزمة تنبيه معينة، تم تحديدها كرسالة طلب صدى GTP-C (نوع GTP 0x01). ومن اللافت للنظر أن المضيف لا يحتاج إلى مآخذ توصيل أو خدمات استماع نشطة، حيث يتم استقبال جميع حزم UDP في مساحة المستخدم من خلال فتح مأخذ توصيل خام. بالإضافة إلى ذلك، تم تصميم GTPDOOR لتنفيذ أمر على المضيف المحدد في الحزمة السحرية، وإرجاع الإخراج إلى المضيف البعيد ودعم وظيفة نوع "الصدفة العكسية". يتم إرسال كل من الطلبات والاستجابات كرسائل GTP_ECHO_REQUEST وGTP_ECHO_RESPONSE، على التوالي.

يمكن فحص الغرسة بشكل سري من شبكة خارجية، مما يؤدي إلى الاستجابة عن طريق إرسال حزمة TCP إلى أي رقم منفذ. إذا كانت عملية الزرع نشطة، فإنها تقوم بإرجاع حزمة TCP فارغة، مما يوفر معلومات حول ما إذا كان منفذ الوجهة مفتوحًا أو مستجيبًا على المضيف.

لإجراءات الأمان، يقوم GTPDOOR بتوثيق وتشفير محتويات رسائل حزمة GTP السحرية باستخدام تشفير XOR بسيط. في وقت التشغيل، يمكن توجيهه لتغيير مفتاح المصادقة والتشفير الخاص به من خلال إعادة المفتاح، مما يمنع استخدام المفتاح الافتراضي المشفر في الملف الثنائي من قبل جهات تهديد أخرى. للاندماج في البيئة، يقوم GTPDOOR بتغيير اسم العملية الخاص به ليشبه عملية سجل النظام التي يتم استدعاؤها كسلسلة kernel. والأهم من ذلك، أنه يعمل دون الحاجة إلى إجراء تغييرات على جدار حماية الدخول إذا كان مسموحًا للمضيف المستهدف بالاتصال عبر منفذ GTP-C.