GTPDOOR मैलवेयर

सुरक्षा विश्लेषकों ने GTPDOOR नाम के एक लिनक्स मैलवेयर की पहचान की है, जिसे स्पष्ट रूप से GPRS रोमिंग एक्सचेंज (GRX) के निकट दूरसंचार नेटवर्क में तैनाती के लिए इंजीनियर किया गया है। कमांड-एंड-कंट्रोल (सी2) संचार के लिए जीपीआरएस टनलिंग प्रोटोकॉल (जीटीपी) का इसका अभिनव उपयोग इस मैलवेयर को अलग करता है। जीपीआरएस रोमिंग ग्राहकों को अपने घरेलू मोबाइल नेटवर्क के कवरेज से बाहर होने पर भी अपनी जीपीआरएस सेवाओं तक पहुंचने में सक्षम बनाता है। यह जीआरएक्स के माध्यम से संभव हुआ है, जो विज़िट और होम पब्लिक लैंड मोबाइल नेटवर्क (पीएलएमएन) के बीच जीटीपी का उपयोग करके रोमिंग ट्रैफ़िक के परिवहन की सुविधा प्रदान करता है।

विशेषज्ञों को संदेह है कि GTPDOOR पिछला दरवाजा संभावित रूप से एक मान्यता प्राप्त खतरा अभिनेता, लाइटबेसिन (जिसे UNC1945 के रूप में भी जाना जाता है) से जुड़ा है। इस विशिष्ट साइबर अपराधी समूह को ग्राहकों की जानकारी और कॉल मेटाडेटा चुराने के उद्देश्य से दूरसंचार क्षेत्र पर किए गए हमलों की श्रृंखला से जोड़ा गया है।

GTPDOOR मैलवेयर साइबर अपराधियों को अवैध पहुंच प्रदान करता है

निष्पादन पर, GTPDOOR अपने प्रक्रिया नाम को '[syslog]' में बदलकर, कर्नेल से प्राप्त syslog के रूप में अपना संचालन शुरू करता है। यह चाइल्ड सिग्नल को दबाने के लिए उपाय करता है और एक रॉ सॉकेट खोलने के लिए आगे बढ़ता है, जिससे इम्प्लांट नेटवर्क इंटरफेस पर निर्देशित यूडीपी संदेशों को रोकने में सक्षम होता है।

संक्षेप में, GTPDOOR एक समझौता किए गए होस्ट के साथ संचार करने के लिए रोमिंग एक्सचेंज नेटवर्क पर स्थापित दृढ़ता के साथ एक खतरे वाले अभिनेता के लिए एक अवसर प्रदान करता है। यह संचार हानिकारक पेलोड वाले GTP-C इको अनुरोध संदेशों को प्रसारित करके प्राप्त किया जाता है। जीटीपी-सी इको रिक्वेस्ट संदेश संक्रमित मशीन पर निष्पादित होने वाले कमांड भेजने और परिणामों को दूरस्थ होस्ट पर वापस भेजने के लिए एक माध्यम के रूप में कार्य करता है।

GTPDOOR की बाहरी नेटवर्क से सावधानीपूर्वक जांच की जा सकती है, जिससे किसी भी पोर्ट नंबर पर एक टीसीपी पैकेट भेजकर प्रतिक्रिया शुरू हो सकती है। यदि इम्प्लांट सक्रिय है, तो यह एक तैयार किया गया खाली टीसीपी पैकेट लौटाता है, साथ ही यह जानकारी भी देता है कि गंतव्य पोर्ट खुला था या होस्ट पर प्रतिक्रियाशील था।

यह इम्प्लांट सीधे जीआरएक्स नेटवर्क से जुड़े समझौता किए गए होस्ट पर रहने के लिए तैयार किया गया प्रतीत होता है - ये ऐसे सिस्टम हैं जो जीआरएक्स के माध्यम से अन्य दूरसंचार ऑपरेटर नेटवर्क के साथ संचार करते हैं।

GTPDOOR मैलवेयर एक बार सक्रिय होने के बाद कई धमकी भरे कार्य करता है

GTPDOOR विभिन्न दुर्भावनापूर्ण गतिविधियों में संलग्न है, जिसमें एक विशिष्ट वेकअप पैकेट को सुनना भी शामिल है, जिसे GTP-C इको अनुरोध संदेश (GTP प्रकार 0x01) के रूप में पहचाना जाता है। उल्लेखनीय रूप से, होस्ट को सक्रिय श्रवण सॉकेट या सेवाओं की आवश्यकता नहीं होती है, क्योंकि सभी यूडीपी पैकेट कच्चे सॉकेट के उद्घाटन के माध्यम से उपयोगकर्ता स्थान में प्राप्त होते हैं। इसके अतिरिक्त, GTPDOOR को मैजिक पैकेट में निर्दिष्ट होस्ट पर एक कमांड निष्पादित करने, रिमोट होस्ट पर आउटपुट लौटाने और 'रिवर्स शेल' प्रकार की कार्यक्षमता का समर्थन करने के लिए डिज़ाइन किया गया है। अनुरोध और प्रतिक्रिया दोनों क्रमशः GTP_ECHO_REQUEST और GTP_ECHO_RESPONSE संदेशों के रूप में प्रेषित होते हैं।

इम्प्लांट की बाहरी नेटवर्क से सावधानीपूर्वक जांच की जा सकती है, जिससे किसी भी पोर्ट नंबर पर टीसीपी पैकेट भेजकर प्रतिक्रिया दी जा सकती है। यदि इम्प्लांट सक्रिय है, तो यह एक तैयार किया गया खाली टीसीपी पैकेट लौटाता है, जिससे यह जानकारी मिलती है कि गंतव्य पोर्ट खुला था या होस्ट पर प्रतिक्रियाशील था।

सुरक्षा उपायों के लिए, GTPDOOR एक साधारण XOR सिफर का उपयोग करके जादुई GTP पैकेट संदेशों की सामग्री को प्रमाणित और एन्क्रिप्ट करता है। रनटाइम पर, इसे रीकीइंग के माध्यम से अपनी प्रमाणीकरण और एन्क्रिप्शन कुंजी को बदलने का निर्देश दिया जा सकता है, जिससे बाइनरी में हार्डकोड की गई डिफ़ॉल्ट कुंजी को अन्य खतरे वाले अभिनेताओं द्वारा उपयोग करने से रोका जा सके। पर्यावरण में घुलने-मिलने के लिए, GTPDOOR कर्नेल थ्रेड के रूप में बुलाए गए syslog प्रक्रिया के समान अपनी प्रक्रिया का नाम बदलता है। महत्वपूर्ण बात यह है कि यदि लक्ष्य होस्ट को जीटीपी-सी पोर्ट पर संचार करने की अनुमति दी जाती है तो यह प्रवेश फ़ायरवॉल परिवर्तनों की आवश्यकता के बिना संचालित होता है।