GTPDOOR Malware

Sikkerhedsanalytikere har identificeret en Linux-malware ved navn GTPDOOR, som er udviklet eksplicit til udrulning inden for telekommunikationsnetværk i nærheden af GPRS-roaming-udvekslinger (GRX). Dens innovative brug af GPRS Tunneling Protocol (GTP) til Command-and-Control (C2)-kommunikation adskiller denne malware. GPRS-roaming gør det muligt for abonnenter at få adgang til deres GPRS-tjenester, når de er uden for dækningen af deres hjemmemobilnetværk. Dette er gjort muligt gennem en GRX, som letter transporten af roamingtrafik ved hjælp af GTP mellem det besøgte og hjemmets Public Land Mobile Network (PLMN).

Eksperter har mistanke om, at GTPDOOR-bagdøren potentielt er forbundet med en anerkendt trusselaktør, LightBasin (også kendt som UNC1945). Denne specifikke cyberkriminelle gruppe er blevet forbundet med en række angreb rettet mod telekommunikationssektoren med det formål at stjæle abonnentinformation og opkaldsmetadata.

GTPDOOR Malware giver ulovlig adgang til cyberkriminelle

Ved udførelse påbegynder GTPDOOR sine operationer ved at ændre dets procesnavn til '[syslog],', der maskerer sig som en syslog kaldet fra kernen. Den træffer foranstaltninger for at undertrykke børnesignaler og fortsætter med at åbne en rå socket, hvilket gør det muligt for implantatet at opsnappe UDP-meddelelser rettet mod netværksgrænsefladerne.

I bund og grund giver GTPDOOR en mulighed for en trusselsaktør med etableret vedholdenhed på roamingudvekslingsnetværket til at kommunikere med en kompromitteret vært. Denne kommunikation opnås ved at sende GTP-C Echo Request-meddelelser, der indeholder en skadelig nyttelast. GTP-C Echo Request-meddelelsen fungerer som en kanal til at sende kommandoer, der skal udføres på den inficerede maskine, og videresende resultaterne tilbage til fjernværten.

GTPDOOR kan diskret sonderes fra et eksternt netværk, og udløse et svar ved at sende en TCP-pakke til ethvert portnummer. Hvis implantatet er aktivt, returnerer det en udformet tom TCP-pakke sammen med oplysninger om, hvorvidt destinationsporten var åben eller responsiv på værten.

Dette implantat ser ud til at være skræddersyet til at ligge på kompromitterede værter, der er direkte forbundet til GRX-netværket – disse er systemer, der kommunikerer med andre telekommunikationsoperatørnetværk via GRX.

GTPDOOR-malwaren udfører flere truende handlinger, når den er aktiveret

GTPDOOR engagerer sig i forskellige ondsindede aktiviteter, herunder at lytte efter en specifik wakeup-pakke, identificeret som en GTP-C ekkoanmodningsmeddelelse (GTP type 0x01). Bemærkelsesværdigt er det, at værten ikke kræver aktive lytte-sockets eller tjenester, da alle UDP-pakker modtages i brugerrummet gennem åbningen af en rå socket. Derudover er GTPDOOR designet til at udføre en kommando på værten specificeret i den magiske pakke, returnere output til fjernværten og understøtte en 'omvendt shell'-type funktionalitet. Både anmodninger og svar transmitteres som henholdsvis GTP_ECHO_REQUEST- og GTP_ECHO_RESPONSE-meddelelser.

Implantatet kan probes diskret fra et eksternt netværk, hvilket beder om et svar ved at sende en TCP-pakke til et hvilket som helst portnummer. Hvis implantatet er aktivt, returnerer det en udformet tom TCP-pakke, der giver information om, hvorvidt destinationsporten var åben eller reagerer på værten.

For sikkerhedsforanstaltninger autentificerer og krypterer GTPDOOR indholdet af magiske GTP-pakkemeddelelser ved hjælp af en simpel XOR-chiffer. Under kørsel kan den blive instrueret i at ændre dens autentificerings- og krypteringsnøgle gennem gennøgle, hvilket forhindrer standardnøglen, der er hårdkodet i binæren, i at blive brugt af andre trusselsaktører. For at blande sig ind i miljøet ændrer GTPDOOR sit procesnavn til at ligne en syslog-proces, der påkaldes som en kernetråd. Vigtigt er det, at det fungerer uden at kræve indgående firewallændringer, hvis målværten har tilladelse til at kommunikere over GTP-C-porten.