תוכנה זדונית של GTPDOOR

מנתחי אבטחה זיהו תוכנה זדונית של לינוקס בשם GTPDOOR, אשר תוכננה באופן מפורש לפריסה בתוך רשתות טלקום בסמוך למרכזיות נדידה של GPRS (GRX). השימוש החדשני שלה ב-GPRS Tunneling Protocol (GTP) לתקשורת פיקוד ושליטה (C2) מייחד את התוכנה הזדונית הזו. נדידת GPRS מאפשרת למנויים לגשת לשירותי ה-GPRS שלהם כשהם מחוץ לכיסוי הרשת הסלולרית הביתית שלהם. הדבר מתאפשר באמצעות GRX, המקל על הובלת תעבורת נדידה באמצעות GTP בין הרשת הניידת של קרקע ציבורית (PLMN) המבקרת והביתית.

מומחים חושדים שהדלת האחורית של GTPDOOR קשורה בפוטנציה לשחקן איום מוכר, LightBasin (הידוע גם בשם UNC1945). קבוצת פושעי סייבר ספציפית זו נקשרה לשורת התקפות המכוונות למגזר הטלקומוניקציה, במטרה לגזל מידע מנויים ומטא נתונים של שיחות.

תוכנת זדונית GTPDOOR מספקת גישה בלתי חוקית לפושעי סייבר

עם הביצוע, GTPDOOR יוזם את הפעולות שלו על ידי שינוי שם התהליך שלו ל'[syslog],' המתחזה ל-syslog המופעל מהקרנל. הוא נוקט באמצעים כדי לדכא אותות ילדים וממשיך לפתוח שקע גולמי, המאפשר לשתל ליירט הודעות UDP המכוונות לממשקי הרשת.

למעשה, GTPDOOR מספקת דרך לשחקן איומים עם התמדה מבוססת ברשת הבורסה הנודדת לתקשר עם מארח שנפגע. תקשורת זו מושגת על ידי העברת הודעות GTP-C Echo Request המכילות מטען מזיק. הודעת GTP-C Echo Request משמשת כצינור לשליחת פקודות לביצוע במחשב הנגוע ולהעביר את התוצאות בחזרה למארח המרוחק.

ניתן לבצע בדיקה דיסקרטית של GTPDOOR מרשת חיצונית, ולהפעיל תגובה על ידי שליחת חבילת TCP לכל מספר יציאה. אם השתל פעיל, הוא מחזיר חבילת TCP ריקה מעוצבת, יחד עם מידע לגבי האם יציאת היעד הייתה פתוחה או מגיבה במארח.

נראה שהשתל הזה מותאם למגורים על מארחים שנפגעו המחוברים ישירות לרשת GRX - אלו מערכות המתקשרות עם רשתות מפעילי טלקומוניקציה אחרות באמצעות ה-GRX.

תוכנת זדונית GTPDOOR מבצעת מספר פעולות מאיימות לאחר הפעלתה

GTPDOOR עוסקת בפעילויות זדוניות שונות, כולל האזנה לחבילת השכמה ספציפית, המזוהה כהודעת בקשת הד GTP-C (סוג GTP 0x01). למרבה הפלא, המארח אינו מחייב שקעי האזנה פעילים או שירותים, מכיוון שכל מנות ה-UDP מתקבלות לחלל המשתמש דרך פתיחה של שקע גולמי. בנוסף, GTPDOOR מתוכנן לבצע פקודה על המארח שצוין בחבילת הקסם, להחזיר את הפלט למארח המרוחק ולתמוך בפונקציונליות מסוג 'מעטפת הפוכה'. הן הבקשות והן התגובות מועברות כהודעות GTP_ECHO_REQUEST ו-GTP_ECHO_RESPONSE, בהתאמה.

ניתן לבצע בדיקה דיסקרטית של השתל מרשת חיצונית, ולעורר תגובה על ידי שליחת חבילת TCP לכל מספר יציאה. אם השתל פעיל, הוא מחזיר חבילת TCP ריקה מעוצבת, ומספקת מידע אם יציאת היעד הייתה פתוחה או מגיבה במארח.

לאמצעי אבטחה, GTPDOOR מאמת ומצפינה את התוכן של הודעות מנות GTP קסומות באמצעות צופן XOR פשוט. בזמן ריצה, ניתן להורות לו לשנות את מפתח האימות וההצפנה שלו באמצעות מפתח מחדש, ולמנוע את ניצול מפתח ברירת המחדל המקודד הקשיח בבינארי על ידי גורמי איומים אחרים. כדי להשתלב בסביבה, GTPDOOR משנה את שם התהליך שלה כדי להידמות לתהליך syslog המופעל כחוט ליבה. חשוב לציין, הוא פועל ללא צורך בשינויי חומת אש נכנסת אם מארח היעד מורשה לתקשר דרך יציאת GTP-C.