بدافزار GTPDOOR

تحلیلگران امنیتی یک بدافزار لینوکس به نام GTPDOOR را شناسایی کرده اند که به صراحت برای استقرار در شبکه های مخابراتی نزدیک به مبادلات رومینگ GPRS (GRX) طراحی شده است. استفاده نوآورانه آن از پروتکل تونل زنی GPRS (GTP) برای ارتباطات فرماندهی و کنترل (C2) این بدافزار را متمایز می کند. رومینگ GPRS مشترکین را قادر می سازد تا زمانی که خارج از پوشش شبکه تلفن همراه خانگی خود نیستند به خدمات GPRS خود دسترسی داشته باشند. این امر از طریق یک GRX امکان پذیر می شود که حمل و نقل ترافیک رومینگ را با استفاده از GTP بین شبکه تلفن همراه عمومی زمین بازدید شده و خانگی (PLMN) تسهیل می کند.

کارشناسان گمان می کنند که درب پشتی GTPDOOR به طور بالقوه به یک عامل تهدید شناخته شده، LightBasin (همچنین به عنوان UNC1945 شناخته می شود) متصل است. این گروه مجرم سایبری خاص با هدف سرقت اطلاعات مشترکین و فراداده تماس ها، با مجموعه ای از حملات مرتبط با بخش مخابرات مرتبط شده است.

بدافزار GTPDOOR دسترسی غیرقانونی به مجرمان سایبری را فراهم می کند

پس از اجرا، GTPDOOR عملیات خود را با تغییر نام فرآیند خود به "[syslog]" آغاز می کند، که به عنوان یک syslog فراخوانی شده از هسته تغییر شکل می دهد. اقداماتی را برای سرکوب سیگنال‌های فرزند انجام می‌دهد و یک سوکت خام را باز می‌کند و ایمپلنت را قادر می‌سازد تا پیام‌های UDP را که به رابط‌های شبکه هدایت می‌شوند را رهگیری کند.

در اصل، GTPDOOR راهی برای یک عامل تهدید با تداوم ثابت در شبکه تبادل رومینگ برای برقراری ارتباط با یک میزبان در معرض خطر فراهم می کند. این ارتباط با ارسال پیام‌های GTP-C Echo Request حاوی یک بار مضر به دست می‌آید. پیام GTP-C Echo Request به عنوان مجرای برای ارسال دستورات برای اجرا در دستگاه آلوده عمل می کند و نتایج را به میزبان راه دور باز می گرداند.

GTPDOOR را می توان به طور محتاطانه از یک شبکه خارجی بررسی کرد و با ارسال یک بسته TCP به هر شماره پورتی، پاسخی را آغاز کرد. اگر ایمپلنت فعال باشد، یک بسته TCP خالی دستکاری شده را به همراه اطلاعاتی درباره باز بودن یا پاسخگو بودن پورت مقصد بر روی هاست برمی گرداند.

به نظر می‌رسد این ایمپلنت برای قرار گرفتن روی میزبان‌های آسیب‌دیده که مستقیماً به شبکه GRX متصل هستند طراحی شده است - اینها سیستم‌هایی هستند که از طریق GRX با سایر شبکه‌های اپراتور مخابراتی ارتباط برقرار می‌کنند.

بدافزار GTPDOOR پس از فعال شدن، چندین عمل تهدیدآمیز را انجام می دهد

GTPDOOR در فعالیت‌های مخرب مختلفی، از جمله گوش دادن به یک بسته بیداری خاص، که به عنوان پیام درخواست پژواک GTP-C (نوع GTP 0x01) شناسایی می‌شود، شرکت می‌کند. قابل توجه است، میزبان نیازی به سوکت‌ها یا خدمات گوش دادن فعال ندارد، زیرا تمام بسته‌های UDP از طریق باز کردن یک سوکت خام به فضای کاربر دریافت می‌شوند. علاوه بر این، GTPDOOR برای اجرای یک فرمان بر روی میزبان مشخص شده در بسته جادویی طراحی شده است، خروجی را به میزبان راه دور برمی گرداند و از یک عملکرد از نوع پوسته معکوس پشتیبانی می کند. هر دو درخواست و پاسخ به ترتیب به عنوان پیام های GTP_ECHO_REQUEST و GTP_ECHO_RESPONSE ارسال می شوند.

ایمپلنت را می توان بطور محتاطانه از یک شبکه خارجی کاوش کرد و با ارسال یک بسته TCP به هر شماره پورتی، پاسخی را ایجاد کرد. اگر ایمپلنت فعال باشد، یک بسته TCP خالی دستکاری شده را برمی گرداند و اطلاعاتی درباره باز بودن یا پاسخگو بودن پورت مقصد در هاست ارائه می دهد.

برای اقدامات امنیتی، GTPDOOR محتویات پیام‌های بسته GTP جادویی را با استفاده از یک رمز ساده XOR احراز هویت و رمزگذاری می‌کند. در زمان اجرا، می توان به آن دستور داد تا کلید احراز هویت و رمزگذاری خود را از طریق کلیدگذاری مجدد تغییر دهد و از استفاده از کلید پیش فرض کدگذاری شده در باینری توسط سایر عوامل تهدید جلوگیری کند. برای ترکیب شدن با محیط، GTPDOOR نام فرآیند خود را تغییر می‌دهد تا شبیه یک فرآیند syslog باشد که به‌عنوان یک رشته هسته فراخوانی می‌شود. نکته مهم این است که اگر میزبان هدف مجاز به برقراری ارتباط از طریق پورت GTP-C باشد، بدون نیاز به تغییرات فایروال ورودی عمل می کند.