GTPDOOR Зловреден софтуер

Анализаторите по сигурността са идентифицирали злонамерен софтуер за Linux, наречен GTPDOOR, който е проектиран изрично за внедряване в телекомуникационни мрежи, близки до GPRS роуминг обмени (GRX). Неговото новаторско използване на GPRS Tunneling Protocol (GTP) за командно-контролни (C2) комуникации отличава този зловреден софтуер. GPRS роумингът позволява на абонатите да имат достъп до своите GPRS услуги, когато са извън покритието на домашната си мобилна мрежа. Това става възможно чрез GRX, който улеснява транспортирането на трафик в роуминг с помощта на GTP между посетената и домашната обществена наземна мобилна мрежа (PLMN).

Експертите подозират, че задната врата на GTPDOOR е потенциално свързана с признат заплаха, LightBasin (известен също като UNC1945). Тази специфична киберпрестъпна група е свързана с поредица от атаки, насочени към телекомуникационния сектор, с цел кражба на информация за абонати и метаданни за обаждания.

Зловреден софтуер GTPDOOR предоставя незаконен достъп на киберпрестъпници

При изпълнение GTPDOOR започва своите операции, като променя името на своя процес на '[syslog],' маскирайки се като syslog, извикан от ядрото. Той предприема мерки за потискане на детски сигнали и продължава да отваря необработен сокет, позволявайки на импланта да прихване UDP съобщения, насочени към мрежовите интерфейси.

По същество GTPDOOR предоставя път за заплаха с установено постоянство в мрежата за обмен на роуминг, за да комуникира с компрометиран хост. Тази комуникация се постига чрез предаване на GTP-C Echo Request съобщения, съдържащи вреден полезен товар. Съобщението GTP-C Echo Request служи като канал за изпращане на команди, които да бъдат изпълнени на заразената машина и предаване на резултатите обратно на отдалечения хост.

GTPDOOR може да бъде дискретно изследван от външна мрежа, задействайки отговор чрез изпращане на TCP пакет до произволен номер на порт. Ако имплантът е активен, той връща създаден празен TCP пакет, заедно с информация за това дали портът на местоназначение е бил отворен или отговарящ на хоста.

Този имплант изглежда пригоден да се намира на компрометирани хостове, директно свързани към мрежата GRX – това са системи, които комуникират с мрежи на други телекомуникационни оператори чрез GRX.

Зловреден софтуер GTPDOOR извършва няколко заплашителни действия, след като бъде активиран

GTPDOOR участва в различни злонамерени дейности, включително прослушване за конкретен пакет за събуждане, идентифициран като GTP-C съобщение за ехо заявка (GTP тип 0x01). Забележително е, че хостът не изисква активни слушащи сокети или услуги, тъй като всички UDP пакети се получават в потребителското пространство чрез отваряне на необработен сокет. Освен това, GTPDOOR е предназначен да изпълни команда на хоста, посочен в магическия пакет, връщайки изхода на отдалечения хост и поддържайки функционалност тип "обратна обвивка". Както заявките, така и отговорите се предават съответно като GTP_ECHO_REQUEST и GTP_ECHO_RESPONSE съобщения.

Имплантът може да бъде дискретно изследван от външна мрежа, предизвиквайки отговор чрез изпращане на TCP пакет до произволен номер на порт. Ако имплантът е активен, той връща създаден празен TCP пакет, предоставящ информация за това дали портът на местоназначението е бил отворен или отговарящ на хоста.

За мерки за сигурност GTPDOOR удостоверява и криптира съдържанието на магически GTP пакетни съобщения с помощта на прост XOR шифър. По време на изпълнение може да бъде инструктиран да промени своя ключ за удостоверяване и криптиране чрез повторно въвеждане на ключ, предотвратявайки използването на ключ по подразбиране, твърдо кодиран в двоичния файл, от други участници в заплахата. За да се слее със средата, GTPDOOR променя името на своя процес, за да прилича на процес на syslog, извикан като нишка на ядрото. Важно е, че той работи без да изисква промени на входната защитна стена, ако на целевия хост е разрешено да комуникира през GTP-C порта.