GTPDOOR haittaohjelma

Tietoturva-analyytikot ovat tunnistaneet GTPDOOR-nimisen Linux-haittaohjelman, joka on suunniteltu käytettäväksi televerkoissa lähellä GPRS-verkkovierailukeskuksia (GRX). Sen innovatiivinen GPRS-tunnelointiprotokollan (GTP) käyttö Command-and-Control (C2) -viestinnässä erottaa tämän haittaohjelman muista. GPRS-roamingin avulla tilaajat voivat käyttää GPRS-palvelujaan kotimatkaviestinverkkonsa peittoalueen ulkopuolella. Tämä on mahdollista GRX:n avulla, joka helpottaa verkkovierailuliikenteen siirtoa GTP:tä käyttäen vieraillun ja kotimaan yleisen matkapuhelinverkon (PLMN) välillä.

Asiantuntijat epäilevät, että GTPDOOR-takaovi on mahdollisesti yhteydessä tunnettuun uhkatekijään, LightBasiniin (tunnetaan myös nimellä UNC1945). Tämä erityinen kyberrikollisryhmä on yhdistetty useisiin tietoliikennesektoriin kohdistuneisiin hyökkäyksiin, joiden tarkoituksena on ryöstää tilaajatietoja ja puheluiden metatietoja.

GTPDOOR-haittaohjelma tarjoaa laittoman pääsyn kyberrikollisille

Suorituksen jälkeen GTPDOOR aloittaa toimintansa muuttamalla sen prosessin nimeksi "[syslog]", joka naamioituu ytimestä kutsutuksi syslogiksi. Se ryhtyy toimenpiteisiin lapsisignaalien vaimentamiseksi ja avaa raakapistokkeen, jonka avulla implantti voi siepata verkkoliitäntöihin suunnattuja UDP-viestejä.

Pohjimmiltaan GTPDOOR tarjoaa väylän uhkatoimijalle, jolla on vakiintunut pysyvyys verkkovierailukeskusten verkossa, kommunikoidakseen vaarantuneen isännän kanssa. Tämä viestintä saavutetaan lähettämällä haitallisen hyötykuorman sisältäviä GTP-C Echo Request -viestejä. GTP-C Echo Request -viesti toimii kanavana, joka lähettää komennot, jotka suoritetaan tartunnan saaneelle koneelle, ja välittää tulokset takaisin etäisäntään.

GTPDOOR voidaan havaita huomaamattomasti ulkoisesta verkosta, mikä laukaisee vastauksen lähettämällä TCP-paketin mihin tahansa porttinumeroon. Jos implantti on aktiivinen, se palauttaa muotoillun tyhjän TCP-paketin sekä tiedot siitä, oliko kohdeportti avoin tai reagoiva isäntäkoneessa.

Tämä implantti näyttää olevan räätälöity GRX-verkkoon suoraan liitetyissä vaarantuneissa isännissä – nämä ovat järjestelmiä, jotka kommunikoivat muiden teleoperaattoriverkkojen kanssa GRX:n kautta.

GTPDOOR-haittaohjelma suorittaa useita uhkaavia toimia aktivoituaan

GTPDOOR osallistuu erilaisiin haitallisiin toimiin, mukaan lukien tietyn herätyspaketin kuunteleminen, joka tunnistetaan GTP-C-kaikupyyntöviestiksi (GTP-tyyppi 0x01). Huomattavaa on, että isäntä ei vaadi aktiivisia kuunteluliitäntöjä tai palveluita, koska kaikki UDP-paketit vastaanotetaan käyttäjätilaan raaka-socketin kautta. Lisäksi GTPDOOR on suunniteltu suorittamaan komento taikapaketissa määritetyllä isännällä, palauttaen lähdön etäisännälle ja tukemaan "käänteisen kuori"-tyyppistä toimintoa. Sekä pyynnöt että vastaukset lähetetään GTP_ECHO_REQUEST- ja GTP_ECHO_RESPONSE-sanomina, vastaavasti.

Implantti voidaan tutkia huomaamattomasti ulkoisesta verkosta, jolloin vastaus lähetetään lähettämällä TCP-paketti mihin tahansa porttinumeroon. Jos implantti on aktiivinen, se palauttaa muotoillun tyhjän TCP-paketin, joka antaa tietoja siitä, oliko kohdeportti avoin vai reagoiko isäntäkoneessa.

Turvatoimia varten GTPDOOR todentaa ja salaa maagisten GTP-pakettiviestien sisällön yksinkertaisella XOR-salauksella. Ajon aikana sitä voidaan ohjata vaihtamaan todennus- ja salausavainta uudelleenavaimella, mikä estää muita uhkatoimijoita käyttämästä binaariin koodattua oletusavainta. Sulautuakseen ympäristöön GTPDOOR muuttaa prosessin nimensä muistuttamaan syslog-prosessia, jota kutsutaan ytimen säikeeksi. Tärkeää on, että se toimii ilman sisääntulon palomuurin muutoksia, jos kohdeisäntä saa kommunikoida GTP-C-portin kautta.