GTPDOOR Malware

Sigurnosni analitičari identificirali su Linux zlonamjerni softver pod nazivom GTPDOOR, koji je projektiran eksplicitno za implementaciju unutar telekomunikacijskih mreža u blizini GPRS roaming centrala (GRX). Njegovo inovativno korištenje GPRS Tunneling Protocol (GTP) za Command-and-Control (C2) komunikaciju izdvaja ovaj zlonamjerni softver. GPRS roaming omogućuje pretplatnicima pristup njihovim GPRS uslugama kada su izvan pokrivenosti matične mobilne mreže. To je omogućeno putem GRX-a, koji olakšava prijenos prometa u roamingu koristeći GTP između posjećene i kućne javne zemaljske mobilne mreže (PLMN).

Stručnjaci sumnjaju da je GTPDOOR backdoor potencijalno povezan s poznatim akterom prijetnje, LightBasin (također poznat kao UNC1945). Ova posebna skupina kibernetičkog kriminala povezana je s nizom napada usmjerenih na telekomunikacijski sektor, s ciljem krađe podataka o pretplatnicima i metapodataka o pozivima.

Zlonamjerni softver GTPDOOR omogućuje nezakonit pristup kibernetičkim kriminalcima

Nakon izvršenja, GTPDOOR započinje svoje operacije mijenjajući naziv svog procesa u '[syslog],' maskirajući se kao syslog pozvan iz kernela. Poduzima mjere za suzbijanje dječjih signala i nastavlja s otvaranjem neobrađene utičnice, omogućujući implantatu presretanje UDP poruka usmjerenih na mrežna sučelja.

U biti, GTPDOOR pruža put akteru prijetnje s uspostavljenom postojanošću na mreži razmjene u roamingu da komunicira s kompromitiranim hostom. Ova komunikacija se postiže odašiljanjem poruka GTP-C Echo Request koje sadrže štetni sadržaj. Poruka GTP-C Echo Request služi kao kanal za slanje naredbi koje treba izvršiti na zaraženom računalu i prosljeđivanje rezultata natrag na udaljeno računalo.

GTPDOOR se može diskretno ispitati iz vanjske mreže, pokrećući odgovor slanjem TCP paketa na bilo koji broj porta. Ako je implantat aktivan, vraća kreirani prazan TCP paket, zajedno s informacijama o tome je li odredišni port bio otvoren ili odgovarao na hostu.

Čini se da je ovaj implantat prilagođen za boravak na kompromitiranim računalima izravno povezanima s GRX mrežom – to su sustavi koji komuniciraju s drugim mrežama telekomunikacijskih operatera putem GRX-a.

Zlonamjerni softver GTPDOOR izvodi nekoliko prijetećih radnji nakon što se aktivira

GTPDOOR se uključuje u razne zlonamjerne aktivnosti, uključujući osluškivanje određenog paketa za buđenje, identificiranog kao poruka GTP-C echo zahtjeva (GTP tip 0x01). Zanimljivo je da host ne zahtijeva aktivne slušajuće utičnice ili usluge, budući da se svi UDP paketi primaju u korisnički prostor kroz otvaranje neobrađene utičnice. Dodatno, GTPDOOR je dizajniran za izvršavanje naredbi na glavnom računalu navedenom u čarobnom paketu, vraćajući izlaz udaljenom glavnom računalu i podržavajući funkciju tipa 'obrnute ljuske'. I zahtjevi i odgovori se prenose kao poruke GTP_ECHO_REQUEST i GTP_ECHO_RESPONSE.

Implantat se može diskretno ispitati iz vanjske mreže, izazivajući odgovor slanjem TCP paketa na bilo koji broj porta. Ako je implantat aktivan, vraća kreirani prazan TCP paket, pružajući informacije o tome je li odredišni port bio otvoren ili odgovarao na hostu.

Za sigurnosne mjere, GTPDOOR provjerava autentičnost i šifrira sadržaj čarobnih GTP paketnih poruka pomoću jednostavne XOR šifre. Tijekom izvođenja, može mu se dati uputa da promijeni svoj ključ za provjeru autentičnosti i enkripciju putem ponovnog ključa, sprječavajući korištenje zadanog ključa tvrdo kodiranog u binarnom obliku od strane drugih aktera prijetnji. Kako bi se uklopio u okolinu, GTPDOOR mijenja naziv svog procesa kako bi sličio procesu syslog-a koji se poziva kao nit kernela. Ono što je važno, radi bez potrebe za promjenama ulaznog vatrozida ako je ciljnom hostu dopuštena komunikacija preko GTP-C priključka.