GTPDOOR pahavara

Turvaanalüütikud on tuvastanud Linuxi pahavara nimega GTPDOOR, mis on loodud spetsiaalselt kasutuselevõtuks GPRS-rändluskeskuste (GRX) läheduses asuvates telekommunikatsioonivõrkudes. GPRS tunneliprotokolli (GTP) uuenduslik kasutamine Command-and-Control (C2) side jaoks eristab seda pahavara. GPRS-rändlus võimaldab abonentidel pääseda juurde oma GPRS-teenustele ka väljaspool kodu mobiilsidevõrku. See on võimalik tänu GRX-ile, mis hõlbustab rändlusliikluse transportimist GTP-ga külastatava ja kodumaise üldkasutatava mobiilsidevõrgu (PLMN) vahel.

Eksperdid kahtlustavad, et GTPDOORi tagauks on potentsiaalselt seotud tunnustatud ohuteguriga LightBasin (tuntud ka kui UNC1945). See konkreetne küberkurjategijate rühmitus on seotud telekommunikatsioonisektorile suunatud rünnakute jadaga, mille eesmärk on varastada abonendi teavet ja kõnede metaandmeid.

Pahavara GTPDOOR pakub küberkurjategijatele ebaseaduslikku juurdepääsu

Täitmisel käivitab GTPDOOR oma toimingud, muutes oma protsessi nimeks „[syslog]”, mis maskeerub kernelist kutsutava syslogina. See võtab meetmeid lapse signaalide summutamiseks ja avab töötlemata pesa, mis võimaldab implantaadil võrguliidestele suunatud UDP-sõnumeid pealt kuulata.

Sisuliselt pakub GTPDOOR rändlusvõrgus püsivalt tegutsevale ohutegijale võimaluse suhelda ohustatud hostiga. See side saavutatakse kahjulikku koormust sisaldavate GTP-C Echo Request sõnumite edastamisega. GTP-C kajapäringu sõnum toimib kanalina nakatunud masinas täidetavate käskude saatmiseks ja tulemuste edastamiseks kaughostile.

GTPDOORi saab välisvõrgust diskreetselt sondeerida, käivitades vastuse, saates TCP-paketi mis tahes pordinumbrile. Kui implantaat on aktiivne, tagastab see koostatud tühja TCP-paketi koos teabega selle kohta, kas sihtport oli hostis avatud või reageeris.

See implantaat näib olevat kohandatud asuma ohustatud hostidel, mis on otse GRX-võrguga ühendatud – need on süsteemid, mis suhtlevad GRX-i kaudu teiste telekommunikatsioonioperaatorite võrkudega.

Pahavara GTPDOOR teeb pärast aktiveerimist mitu ähvardavat toimingut

GTPDOOR tegeleb mitmesuguste pahatahtlike tegevustega, sealhulgas konkreetse äratuspaketi kuulamisega, mis on tuvastatud GTP-C kajapäringu sõnumina (GTP tüüp 0x01). Tähelepanuväärne on see, et host ei vaja aktiivseid kuulamispesasid ega teenuseid, kuna kõik UDP-paketid võetakse kasutajaruumi vastu töötlemata pesa avamise kaudu. Lisaks on GTPDOOR loodud täitma käsku maagilises paketis määratud hostis, tagastades väljundi kaughostile ja toetades 'reverse shell' tüüpi funktsioone. Nii päringud kui ka vastused edastatakse vastavalt GTP_ECHO_REQUEST ja GTP_ECHO_RESPONSE sõnumitena.

Implantaati saab välisest võrgust diskreetselt sondeerida, mis annab vastuse, saates TCP-paketi mis tahes pordinumbrile. Kui implantaat on aktiivne, tagastab see loodud tühja TCP-paketi, mis annab teavet selle kohta, kas sihtport oli hostis avatud või reageeris.

Turvameetmete jaoks autentib ja krüpteerib GTPDOOR maagiliste GTP-pakettsõnumite sisu lihtsa XOR-šifri abil. Käitusajal saab talle anda korralduse muuta oma autentimis- ja krüpteerimisvõtit uuesti võtmete sisestamise kaudu, vältides binaarfailis kõvakoodiga vaikevõtme kasutamist teiste ohus osalejate poolt. Keskkonda sulandumiseks muudab GTPDOOR oma protsessi nime, et see meenutaks kerneli lõimena kutsutavat syslogi protsessi. Oluline on see, et see töötab ilma sissepääsu tulemüüri muutmiseta, kui sihthostil on lubatud suhelda GTP-C pordi kaudu.