Programari maliciós GTPDOOR

Els analistes de seguretat han identificat un programari maliciós de Linux anomenat GTPDOOR, que està dissenyat explícitament per al desplegament dins de xarxes de telecomunicacions properes als intercanvis d'itinerància GPRS (GRX). La seva utilització innovadora del protocol de túnel GPRS (GTP) per a comunicacions de comandament i control (C2) diferencia aquest programari maliciós. L'itinerància GPRS permet als abonats accedir als seus serveis GPRS quan es troben fora de la cobertura de la seva xarxa mòbil domèstica. Això és possible mitjançant un GRX, que facilita el transport de trànsit en itinerància mitjançant GTP entre la Xarxa Mòbil Terrestre Pública (PLMN) visitada i la domèstica.

Els experts sospiten que la porta del darrere GTPDOOR està potencialment connectada a un actor d'amenaces reconegut, LightBasin (també conegut com UNC1945). Aquest grup ciberdelinqüent específic s'ha relacionat amb una sèrie d'atacs dirigits al sector de les telecomunicacions, amb l'objectiu de robar informació dels abonats i metadades de trucades.

El programari maliciós GTPDOOR proporciona accés il·legal als ciberdelinqüents

Després de l'execució, GTPDOOR inicia les seves operacions alterant el nom del seu procés a '[syslog]', dissimulant-se com un syslog invocat des del nucli. Pren mesures per suprimir els senyals infantils i procedeix a obrir un sòcol en brut, permetent a l'implant interceptar missatges UDP dirigits a les interfícies de xarxa.

En essència, GTPDOOR ofereix una via perquè un actor d'amenaces amb persistència establerta a la xarxa d'intercanvi d'itinerància es comuniqui amb un amfitrió compromès. Aquesta comunicació s'aconsegueix mitjançant la transmissió de missatges de sol·licitud d'eco GTP-C que contenen una càrrega útil perjudicial. El missatge de sol·licitud d'eco GTP-C serveix com a conducte per enviar ordres per executar-se a la màquina infectada i transmetre els resultats a l'amfitrió remot.

GTPDOOR es pot sondar discretament des d'una xarxa externa, activant una resposta enviant un paquet TCP a qualsevol número de port. Si l'implant està actiu, retorna un paquet TCP buit dissenyat, juntament amb informació sobre si el port de destinació estava obert o responia a l'amfitrió.

Aquest implant sembla adaptat per residir en hosts compromesos connectats directament a la xarxa GRX: aquests són sistemes que es comuniquen amb altres xarxes d'operadors de telecomunicacions mitjançant el GRX.

El programari maliciós GTPDOOR realitza diverses accions amenaçadores un cop activat

GTPDOOR es dedica a diverses activitats malicioses, inclosa l'escolta d'un paquet d'activació específic, identificat com a missatge de sol·licitud d'eco GTP-C (tipus GTP 0x01). Notablement, l'amfitrió no necessita endolls o serveis d'escolta actius, ja que tots els paquets UDP es reben a l'espai d'usuari mitjançant l'obertura d'un sòcol en brut. A més, GTPDOOR està dissenyat per executar una ordre a l'amfitrió especificat al paquet màgic, retornant la sortida a l'amfitrió remot i donant suport a una funcionalitat de tipus "shell invers". Tant les sol·licituds com les respostes es transmeten com a missatges GTP_ECHO_REQUEST i GTP_ECHO_RESPONSE, respectivament.

L'implant es pot sondar discretament des d'una xarxa externa, provocant una resposta enviant un paquet TCP a qualsevol número de port. Si l'implant està actiu, retorna un paquet TCP buit dissenyat, que proporciona informació sobre si el port de destinació estava obert o responia a l'amfitrió.

Per mesures de seguretat, GTPDOOR autentica i xifra el contingut dels missatges màgics de paquets GTP mitjançant un xifrat XOR senzill. En temps d'execució, se li pot indicar que canviï la seva clau d'autenticació i xifratge mitjançant la nova clau, evitant que la clau predeterminada codificada al binari sigui utilitzada per altres actors d'amenaça. Per combinar-se amb l'entorn, GTPDOOR canvia el nom del seu procés per semblar-se a un procés syslog invocat com a fil del nucli. És important destacar que funciona sense requerir canvis del tallafoc d'entrada si es permet que l'amfitrió de destinació es comuniqui a través del port GTP-C.