Malware GTDOOR

Gli analisti della sicurezza hanno identificato un malware Linux denominato GTPDOOR, progettato esplicitamente per l'implementazione all'interno delle reti di telecomunicazioni vicine agli scambi di roaming GPRS (GRX). Il suo utilizzo innovativo del protocollo GPRS Tunneling Protocol (GTP) per le comunicazioni Command-and-Control (C2) distingue questo malware. Il roaming GPRS consente agli abbonati di accedere ai propri servizi GPRS quando si trovano al di fuori della copertura della rete mobile domestica. Ciò è reso possibile attraverso un GRX, che facilita il trasporto del traffico in roaming utilizzando GTP tra la rete mobile terrestre pubblica (PLMN) visitata e quella di casa.

Gli esperti sospettano che la backdoor GTPDOOR sia potenzialmente collegata a un attore di minacce riconosciuto, LightBasin (noto anche come UNC1945). Questo specifico gruppo di criminali informatici è stato collegato a una serie di attacchi mirati al settore delle telecomunicazioni, con l'obiettivo di rubare informazioni sugli abbonati e metadati delle chiamate.

Il malware GTPDOOR fornisce accesso illegale ai criminali informatici

Al momento dell'esecuzione, GTPDOOR avvia le sue operazioni modificando il nome del processo in "[syslog]", mascherato da syslog richiamato dal kernel. Adotta misure per sopprimere i segnali secondari e procede all'apertura di un socket grezzo, consentendo all'impianto di intercettare i messaggi UDP diretti alle interfacce di rete.

In sostanza, GTPDOOR fornisce a un attore di minacce con una persistenza consolidata sulla rete di scambio in roaming una via per comunicare con un host compromesso. Questa comunicazione si ottiene trasmettendo messaggi GTP-C Echo Request contenenti un payload dannoso. Il messaggio GTP-C Echo Request funge da canale per inviare comandi da eseguire sulla macchina infetta e ritrasmettere i risultati all'host remoto.

GTPDOOR può essere sondato in modo discreto da una rete esterna, attivando una risposta inviando un pacchetto TCP a qualsiasi numero di porta. Se l'impianto è attivo, restituisce un pacchetto TCP vuoto predisposto, insieme alle informazioni sul fatto che la porta di destinazione fosse aperta o reattiva sull'host.

Questo impianto sembra fatto su misura per risiedere su host compromessi direttamente collegati alla rete GRX: si tratta di sistemi che comunicano con altre reti di operatori di telecomunicazioni tramite GRX.

Il malware GTPDOOR esegue diverse azioni minacciose una volta attivato

GTPDOOR è coinvolto in varie attività dannose, incluso l'ascolto di uno specifico pacchetto di risveglio, identificato come messaggio di richiesta eco GTP-C (tipo GTP 0x01). Sorprendentemente, l'host non necessita di socket o servizi di ascolto attivi, poiché tutti i pacchetti UDP vengono ricevuti nello spazio utente attraverso l'apertura di un socket raw. Inoltre, GTPDOOR è progettato per eseguire un comando sull'host specificato nel magic packet, restituendo l'output all'host remoto e supportando una funzionalità di tipo "shell inversa". Sia le richieste che le risposte vengono trasmesse rispettivamente come messaggi GTP_ECHO_REQUEST e GTP_ECHO_RESPONSE.

L'impianto può essere sondato in modo discreto da una rete esterna, richiedendo una risposta inviando un pacchetto TCP a qualsiasi numero di porta. Se l'impianto è attivo, restituisce un pacchetto TCP vuoto predisposto, fornendo informazioni se la porta di destinazione era aperta o reattiva sull'host.

Per misure di sicurezza, GTPDOOR autentica e crittografa il contenuto dei messaggi di pacchetti GTP magici utilizzando un semplice codice XOR. In fase di esecuzione, può essere incaricato di modificare la propria chiave di autenticazione e crittografia tramite la ricodifica delle chiavi, impedendo che la chiave predefinita codificata nel codice binario venga utilizzata da altri autori di minacce. Per integrarsi nell'ambiente, GTPDOOR cambia il nome del processo per assomigliare a un processo syslog invocato come thread del kernel. È importante sottolineare che funziona senza richiedere modifiche al firewall di ingresso se all'host di destinazione è consentito comunicare tramite la porta GTP-C.