GTPDOOR rosszindulatú program
Biztonsági elemzők egy GTPDOOR nevű Linux kártevőt azonosítottak, amelyet kifejezetten a GPRS roaming Exchange (GRX) távközlési hálózatokon belüli telepítésére terveztek. A GPRS Tunneling Protocol (GTP) innovatív felhasználása a Command-and-Control (C2) kommunikációhoz megkülönbözteti ezt a kártevőt. A GPRS barangolás lehetővé teszi az előfizetők számára, hogy otthoni mobilhálózatuk lefedettségén kívül is hozzáférjenek GPRS-szolgáltatásaikhoz. Ezt egy GRX teszi lehetővé, amely megkönnyíti a barangolási forgalom GTP-n keresztüli szállítását a látogatott és otthoni nyilvános földi mobilhálózat (PLMN) között.
A szakértők azt gyanítják, hogy a GTPDOOR hátsó ajtó potenciálisan egy elismert fenyegetést okozó szereplőhöz, a LightBasinhez (más néven UNC1945) kapcsolódik. Ezt a konkrét kiberbűnözői csoportot a távközlési szektort célzó támadások sorozatával hozták kapcsolatba, amelyek célja az előfizetői információk és a hívások metaadatainak eltulajdonítása.
A GTPDOOR rosszindulatú program illegális hozzáférést biztosít a kiberbűnözők számára
Végrehajtáskor a GTPDOOR úgy indítja el a műveleteket, hogy a folyamat nevét „[syslog]”-ra változtatja, ami a kernelből meghívott rendszernaplónak álcázza magát. Intézkedéseket tesz a gyermekjelek elnyomására, és megnyit egy nyers aljzatot, lehetővé téve az implantátum számára, hogy elfogja a hálózati interfészekre irányuló UDP-üzeneteket.
Lényegében a GTPDOOR lehetőséget biztosít a fenyegetettség szereplői számára, akik állandóan állandóan a roaming cserehálózaton kommunikálhatnak egy kompromittált gazdagéppel. Ez a kommunikáció káros hasznos terhelést tartalmazó GTP-C Echo Request üzenetek továbbításával valósul meg. A GTP-C Echo Request üzenet csatornaként szolgál a fertőzött gépen végrehajtandó parancsok elküldéséhez, és az eredmények továbbításához a távoli gazdagéphez.
A GTPDOOR diszkréten ellenőrizhető egy külső hálózatról, és egy TCP-csomag tetszőleges számú portra történő elküldésével vált ki választ. Ha az implantátum aktív, akkor egy kialakított üres TCP-csomagot ad vissza, valamint az arra vonatkozó információkat, hogy a célport nyitva volt-e vagy reagált-e a gazdagépen.
Úgy tűnik, hogy ezt az implantátumot a GRX-hálózathoz közvetlenül kapcsolódó kompromittált gazdagépekre szabták – ezek olyan rendszerek, amelyek a GRX-en keresztül kommunikálnak más távközlési szolgáltatói hálózatokkal.
A GTPDOOR rosszindulatú program aktiválása után számos fenyegető műveletet hajt végre
A GTPDOOR különféle rosszindulatú tevékenységekben vesz részt, beleértve egy adott ébresztőcsomag meghallgatását, amelyet GTP-C visszhangkérési üzenetként azonosítanak (0x01 típusú GTP). Figyelemre méltó, hogy a gazdagépnek nincs szüksége aktív lehallgató socketekre vagy szolgáltatásokra, mivel az összes UDP-csomag egy nyers socket megnyitásán keresztül érkezik a felhasználói térbe. Ezenkívül a GTPDOOR-t úgy tervezték, hogy végrehajtson egy parancsot a varázscsomagban megadott gazdagépen, visszaküldve a kimenetet a távoli gazdagépnek, és támogatja a „fordított shell” típusú funkciót. Mind a kérések, mind a válaszok GTP_ECHO_REQUEST és GTP_ECHO_RESPONSE üzenetként kerülnek továbbításra.
Az implantátum diszkréten szondázható egy külső hálózatról, amelyre egy TCP-csomag tetszőleges számú portra történő küldésével válaszol. Ha az implantátum aktív, egy kialakított üres TCP-csomagot ad vissza, amely információt ad arról, hogy a célport nyitva volt-e vagy reagált-e a gazdagépen.
A biztonsági intézkedések érdekében a GTPDOOR egy egyszerű XOR-rejtjel segítségével hitelesíti és titkosítja a mágikus GTP-csomag üzenetek tartalmát. Futás közben utasítható, hogy a hitelesítési és titkosítási kulcsát újrakulcsolással változtassa meg, megakadályozva, hogy a bináris fájlban kódolt alapértelmezett kulcsot más fenyegetés szereplői felhasználják. A környezetbe való beleolvadáshoz a GTPDOOR megváltoztatja a folyamatnevét, hogy egy kernelszálként meghívott syslog folyamathoz hasonlítson. Fontos, hogy a bemeneti tűzfal módosítása nélkül működik, ha a célállomásnak engedélyezett a kommunikáció a GTP-C porton keresztül.
