GTPDOOR ļaunprātīga programmatūra

Drošības analītiķi ir identificējuši Linux ļaunprātīgu programmatūru ar nosaukumu GTPDOOR, kas ir īpaši izstrādāta izvietošanai telekomunikāciju tīklos, kas atrodas tuvu GPRS viesabonēšanas centrālām (GRX). Tā novatoriskā GPRS tunelēšanas protokola (GTP) izmantošana Command-and-Control (C2) sakariem izceļ šo ļaunprātīgo programmatūru. GPRS viesabonēšana ļauj abonentiem piekļūt saviem GPRS pakalpojumiem ārpus mājas mobilā tīkla pārklājuma. Tas ir iespējams, izmantojot GRX, kas atvieglo viesabonēšanas trafika transportēšanu, izmantojot GTP starp apmeklēto un mājas publisko sauszemes mobilo tīklu (PLMN).

Ekspertiem ir aizdomas, ka GTPDOOR aizmugures durvis, iespējams, ir saistītas ar atzītu apdraudējuma dalībnieku LightBasin (pazīstams arī kā UNC1945). Šī konkrētā kibernoziedznieku grupa ir saistīta ar virkni uzbrukumu, kas vērsti pret telekomunikāciju sektoru, lai zagtu abonentu informāciju un zvanu metadatus.

GTPDOOR ļaunprogrammatūra nodrošina nelegālu piekļuvi kibernoziedzniekiem

Pēc izpildes GTPDOOR uzsāk savas darbības, mainot procesa nosaukumu uz “[syslog]”, maskējoties kā no kodola izsaukts syslog. Tas veic pasākumus, lai apspiestu bērnu signālus, un turpina atvērt neapstrādātu ligzdu, ļaujot implantam pārtvert UDP ziņojumus, kas vērsti uz tīkla saskarnēm.

Būtībā GTPDOOR nodrošina iespēju apdraudējuma dalībniekam ar noteiktu noturību viesabonēšanas apmaiņas tīklā sazināties ar apdraudētu saimniekdatoru. Šī saziņa tiek panākta, pārsūtot GTP-C Echo Request ziņojumus, kas satur kaitīgu slodzi. Ziņojums GTP-C Echo Request kalpo kā kanāls, lai nosūtītu komandas, kas jāizpilda inficētajā datorā, un nosūtītu rezultātus atpakaļ uz attālo saimniekdatoru.

GTPDOOR var diskrēti pārbaudīt no ārējā tīkla, izraisot atbildi, nosūtot TCP paketi uz jebkuru porta numuru. Ja implants ir aktīvs, tas atgriež izstrādātu tukšu TCP paketi, kā arī informāciju par to, vai resursdatora mērķa ports bija atvērts vai reaģēja.

Šķiet, ka šis implants ir pielāgots tā, lai tas atrastos apdraudētos saimniekdatoros, kas ir tieši savienoti ar GRX tīklu – tās ir sistēmas, kas sazinās ar citiem telekomunikāciju operatoru tīkliem, izmantojot GRX.

Pēc aktivizēšanas ļaunprogrammatūra GTPDOOR veic vairākas apdraudošas darbības

GTPDOOR iesaistās dažādās ļaunprātīgās darbībās, tostarp noklausās konkrētu modināšanas paketi, kas identificēta kā GTP-C atbalss pieprasījuma ziņojums (GTP tips 0x01). Jāatzīmē, ka resursdatoram nav nepieciešamas aktīvas klausīšanās ligzdas vai pakalpojumi, jo visas UDP paketes tiek saņemtas lietotāja telpā, atverot neapstrādātu ligzdu. Turklāt GTPDOOR ir paredzēts, lai izpildītu komandu maģiskajā paketē norādītajā resursdatorā, atgriežot izvadi attālajam resursdatoram un atbalstot "reversā apvalka" tipa funkcionalitāti. Gan pieprasījumi, gan atbildes tiek nosūtīti attiecīgi kā GTP_ECHO_REQUEST un GTP_ECHO_RESPONSE ziņojumi.

Implantu var diskrēti pārbaudīt no ārēja tīkla, izraisot atbildi, nosūtot TCP paketi uz jebkuru porta numuru. Ja implants ir aktīvs, tas atgriež izstrādātu tukšu TCP paketi, sniedzot informāciju par to, vai resursdatora mērķa ports bija atvērts vai reaģēja.

Drošības pasākumiem GTPDOOR autentificē un šifrē maģisko GTP pakešu ziņojumu saturu, izmantojot vienkāršu XOR šifru. Izpildlaikā tai var tikt uzdots mainīt autentifikācijas un šifrēšanas atslēgu, izmantojot atkārtotu atslēgu, neļaujot binārajā failā iekodēto noklusējuma atslēgu izmantot citiem apdraudējumiem. Lai iekļautos vidē, GTPDOOR maina procesa nosaukumu, lai tas atgādinātu syslog procesu, kas tiek izsaukts kā kodola pavediens. Svarīgi, ka tas darbojas bez ieejas ugunsmūra izmaiņas, ja mērķa saimniekdatoram ir atļauts sazināties, izmantojot GTP-C portu.