GTPDOOR kenkėjiška programa

Saugumo analitikai nustatė „Linux“ kenkėjišką programinę įrangą, pavadintą GTPDOOR, kuri yra specialiai sukurta diegti telekomunikacijų tinkluose, esančiuose netoli GPRS tarptinklinio ryšio biržų (GRX). Novatoriškas GPRS tuneliavimo protokolo (GTP) panaudojimas komandų ir valdymo (C2) ryšiui išskiria šią kenkėjišką programą. GPRS tarptinklinis ryšys suteikia galimybę abonentams pasiekti savo GPRS paslaugas, kai jie nėra savo namų mobiliojo tinklo aprėptyje. Tai įmanoma naudojant GRX, kuris palengvina tarptinklinio ryšio srauto transportavimą naudojant GTP tarp lankomo ir namų viešojo sausumos mobiliojo tinklo (PLMN).

Ekspertai įtaria, kad GTPDOOR užpakalinės durys gali būti sujungtos su pripažintu grėsmės veikėju „LightBasin“ (taip pat žinomas kaip UNC1945). Ši konkreti kibernetinių nusikaltėlių grupuotė buvo susieta su atakų, nukreiptų prieš telekomunikacijų sektorių, virtinė, siekiant pasisavinti abonentų informaciją ir skambučių metaduomenis.

GTPDOOR kenkėjiška programa suteikia neteisėtą prieigą prie kibernetinių nusikaltėlių

Vykdant GTPDOOR pradeda savo operacijas, pakeisdamas savo proceso pavadinimą į „[syslog]“, prisidengiantis kaip sistemos žurnalas, iškviestas iš branduolio. Ji imasi priemonių vaikų signalams slopinti ir pradeda atidaryti neapdorotą lizdą, leidžiantį implantui perimti UDP pranešimus, nukreiptus į tinklo sąsajas.

Iš esmės GTPDOOR suteikia galimybę grėsmės veikėjui, turinčiam pastovų atkaklumą tarptinklinio ryšio mainų tinkle, bendrauti su pažeistu pagrindiniu kompiuteriu. Šis ryšys pasiekiamas perduodant GTP-C Echo Request pranešimus, kuriuose yra žalingo naudingo krovinio. GTP-C Echo Request pranešimas naudojamas kaip kanalas, siunčiantis komandas, kurios turi būti vykdomos užkrėstame kompiuteryje, ir perduoti rezultatus atgal į nuotolinį pagrindinį kompiuterį.

GTPDOOR gali būti diskretiškai patikrintas iš išorinio tinklo, suaktyvinant atsakymą siunčiant TCP paketą į bet kurį prievado numerį. Jei implantas aktyvus, jis grąžina sukurtą tuščią TCP paketą kartu su informacija apie tai, ar paskirties prievadas buvo atidarytas, ar reagavo į pagrindinį kompiuterį.

Atrodo, kad šis implantas yra pritaikytas gyventi pažeistuose pagrindiniuose kompiuteriuose, tiesiogiai prijungtuose prie GRX tinklo – tai sistemos, kurios per GRX palaiko ryšį su kitais telekomunikacijų operatorių tinklais.

Suaktyvinta GTPDOOR kenkėjiška programa atlieka keletą grėsmingų veiksmų

GTPDOOR užsiima įvairia kenkėjiška veikla, įskaitant konkretaus pažadinimo paketo, identifikuojamo kaip GTP-C aido užklausos pranešimas (GTP tipas 0x01), klausymą. Pažymėtina, kad pagrindiniam kompiuteriui nereikia aktyvių klausymosi lizdų ar paslaugų, nes visi UDP paketai į vartotojo erdvę patenka per neapdorotą lizdą. Be to, GTPDOOR sukurtas vykdyti komandą pagrindiniame kompiuteryje, nurodytame magiškame pakete, grąžinant išvestį į nuotolinį pagrindinį kompiuterį ir palaikont „atvirkštinio apvalkalo“ tipo funkciją. Tiek užklausos, tiek atsakymai perduodami atitinkamai kaip GTP_ECHO_REQUEST ir GTP_ECHO_RESPONSE pranešimai.

Implantas gali būti diskretiškai zonduojamas iš išorinio tinklo, raginant atsakyti siunčiant TCP paketą į bet kurį prievado numerį. Jei implantas aktyvus, jis grąžina sukurtą tuščią TCP paketą, kuriame pateikiama informacija apie tai, ar paskirties prievadas buvo atidarytas, ar reagavo į pagrindinį kompiuterį.

Dėl saugumo priemonių GTPDOOR autentifikuoja ir užšifruoja magiškų GTP paketų pranešimų turinį naudodamas paprastą XOR šifrą. Vykdymo metu jai gali būti nurodyta pakeisti savo autentifikavimo ir šifravimo raktą per raktų keitimą, neleidžiant numatytiems dvejetainiame faile užkoduoto rakto panaudoti kitiems grėsmės veikėjams. Kad įsilietų į aplinką, GTPDOOR pakeičia proceso pavadinimą, kad būtų panašus į syslog procesą, iškviečiamą kaip branduolio giją. Svarbu tai, kad ji veikia nereikalaujant įėjimo ugniasienės pakeitimų, jei tikslinei prieglobai leidžiama bendrauti per GTP-C prievadą.