GTPDOOR ম্যালওয়্যার

নিরাপত্তা বিশ্লেষকরা GTPDOOR নামে একটি লিনাক্স ম্যালওয়্যার শনাক্ত করেছেন, যেটি GPRS রোমিং এক্সচেঞ্জ (GRX) এর কাছাকাছি টেলিকম নেটওয়ার্কগুলির মধ্যে স্থাপনের জন্য স্পষ্টভাবে তৈরি করা হয়েছে৷ কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য GPRS টানেলিং প্রোটোকল (GTP) এর উদ্ভাবনী ব্যবহার এই ম্যালওয়্যারটিকে আলাদা করে। GPRS রোমিং গ্রাহকদের তাদের হোম মোবাইল নেটওয়ার্কের কভারেজের বাইরে থাকাকালীন তাদের GPRS পরিষেবাগুলি অ্যাক্সেস করতে সক্ষম করে৷ এটি একটি GRX এর মাধ্যমে সম্ভব হয়েছে, যা পরিদর্শন করা এবং হোম পাবলিক ল্যান্ড মোবাইল নেটওয়ার্ক (PLMN) এর মধ্যে GTP ব্যবহার করে রোমিং ট্রাফিক পরিবহনের সুবিধা দেয়৷

বিশেষজ্ঞরা সন্দেহ করেন যে GTPDOOR ব্যাকডোর সম্ভাব্যভাবে একজন স্বীকৃত হুমকি অভিনেতা, LightBasin (UNC1945 নামেও পরিচিত) এর সাথে সংযুক্ত। এই নির্দিষ্ট সাইবার অপরাধী গোষ্ঠীটি গ্রাহকদের তথ্য এবং কল মেটাডেটা চুরি করার লক্ষ্যে টেলিকমিউনিকেশন সেক্টরে আক্রমণের একটি স্ট্রিংয়ের সাথে যুক্ত হয়েছে।

GTPDOOR ম্যালওয়্যার সাইবার অপরাধীদের অবৈধ অ্যাক্সেস প্রদান করে

কার্যকর করার পরে, GTPDOOR তার প্রক্রিয়ার নাম পরিবর্তন করে '[syslog],' কার্নেল থেকে আমন্ত্রিত একটি syslog হিসাবে মাস্করেড করে তার কার্যক্রম শুরু করে। এটি শিশু সংকেত দমন করার ব্যবস্থা নেয় এবং একটি কাঁচা সকেট খোলার জন্য এগিয়ে যায়, নেটওয়ার্ক ইন্টারফেসে নির্দেশিত UDP বার্তাগুলিকে আটকাতে ইমপ্লান্টকে সক্ষম করে।

মোটকথা, GTPDOOR একটি আপোষহীন হোস্টের সাথে যোগাযোগ করার জন্য রোমিং এক্সচেঞ্জ নেটওয়ার্কে প্রতিষ্ঠিত অধ্যবসায় সহ হুমকি অভিনেতার জন্য একটি উপায় প্রদান করে। এই যোগাযোগ একটি ক্ষতিকারক পেলোড ধারণকারী GTP-C ইকো অনুরোধ বার্তা প্রেরণের মাধ্যমে অর্জন করা হয়। GTP-C ইকো রিকোয়েস্ট মেসেজ সংক্রামিত মেশিনে এক্সিকিউট করার জন্য কমান্ড পাঠাতে এবং রিমোট হোস্টে ফলাফল রিলে করার জন্য একটি নালী হিসাবে কাজ করে।

GTPDOOR একটি বাহ্যিক নেটওয়ার্ক থেকে বিচক্ষণতার সাথে অনুসন্ধান করা যেতে পারে, যেকোন পোর্ট নম্বরে একটি TCP প্যাকেট পাঠিয়ে প্রতিক্রিয়া ট্রিগার করে। যদি ইমপ্লান্টটি সক্রিয় থাকে, তবে এটি গন্তব্য পোর্ট খোলা ছিল বা হোস্টে প্রতিক্রিয়াশীল ছিল কিনা সে সম্পর্কে তথ্য সহ একটি তৈরি করা খালি TCP প্যাকেট ফেরত দেয়।

এই ইমপ্লান্টটি GRX নেটওয়ার্কের সাথে সরাসরি সংযুক্ত আপস করা হোস্টগুলিতে থাকার জন্য উপযুক্ত বলে মনে হচ্ছে - এইগুলি এমন সিস্টেম যা GRX এর মাধ্যমে অন্যান্য টেলিকমিউনিকেশন অপারেটর নেটওয়ার্কগুলির সাথে যোগাযোগ করে৷

GTPDOOR ম্যালওয়্যার সক্রিয় হওয়ার পরে বেশ কিছু হুমকিমূলক ক্রিয়া সম্পাদন করে৷

GTPDOOR বিভিন্ন দূষিত ক্রিয়াকলাপে নিযুক্ত থাকে, যার মধ্যে একটি নির্দিষ্ট ওয়েকআপ প্যাকেটের জন্য শোনা, একটি GTP-C ইকো অনুরোধ বার্তা (GTP প্রকার 0x01) হিসাবে চিহ্নিত। লক্ষণীয়ভাবে, হোস্টের সক্রিয় লিসেনিং সকেট বা পরিষেবাগুলির প্রয়োজন হয় না, কারণ সমস্ত UDP প্যাকেট একটি কাঁচা সকেট খোলার মাধ্যমে ব্যবহারকারীর জায়গায় গৃহীত হয়। অতিরিক্তভাবে, GTPDOOR ম্যাজিক প্যাকেটে নির্দিষ্ট হোস্টে একটি কমান্ড কার্যকর করার জন্য ডিজাইন করা হয়েছে, রিমোট হোস্টে আউটপুট ফিরিয়ে দেয় এবং একটি 'রিভার্স শেল' টাইপ কার্যকারিতা সমর্থন করে। উভয় অনুরোধ এবং প্রতিক্রিয়া যথাক্রমে GTP_ECHO_REQUEST এবং GTP_ECHO_RESPONSE বার্তা হিসাবে প্রেরণ করা হয়।

ইমপ্লান্টটি একটি বাহ্যিক নেটওয়ার্ক থেকে বিচক্ষণতার সাথে অনুসন্ধান করা যেতে পারে, যেকোন পোর্ট নম্বরে একটি TCP প্যাকেট পাঠিয়ে প্রতিক্রিয়া জানানোর জন্য। যদি ইমপ্লান্টটি সক্রিয় থাকে, তবে এটি একটি তৈরি করা খালি TCP প্যাকেট ফেরত দেয়, যা গন্তব্য পোর্ট খোলা ছিল বা হোস্টে প্রতিক্রিয়াশীল ছিল কিনা তা তথ্য প্রদান করে।

নিরাপত্তা ব্যবস্থার জন্য, GTPDOOR একটি সাধারণ XOR সাইফার ব্যবহার করে ম্যাজিক GTP প্যাকেট বার্তাগুলির বিষয়বস্তু প্রমাণীকরণ এবং এনক্রিপ্ট করে। রানটাইমে, এটিকে পুনরায় কী করার মাধ্যমে এর প্রমাণীকরণ এবং এনক্রিপশন কী পরিবর্তন করার নির্দেশ দেওয়া যেতে পারে, বাইনারিতে হার্ডকোড করা ডিফল্ট কীটিকে অন্যান্য হুমকি অভিনেতাদের দ্বারা ব্যবহার করা থেকে আটকাতে। পরিবেশের সাথে মিশে যেতে, GTPDOOR তার প্রক্রিয়ার নাম পরিবর্তন করে একটি কার্নেল থ্রেড হিসাবে আমন্ত্রিত একটি syslog প্রক্রিয়ার অনুরূপ। গুরুত্বপূর্ণভাবে, যদি টার্গেট হোস্টকে GTP-C পোর্টের মাধ্যমে যোগাযোগ করার অনুমতি দেওয়া হয় তবে এটি প্রবেশের ফায়ারওয়াল পরিবর্তনের প্রয়োজন ছাড়াই কাজ করে।