Perisian Hasad GTPDOOR

Penganalisis keselamatan telah mengenal pasti perisian hasad Linux bernama GTPDOOR, yang direka bentuk secara eksplisit untuk penggunaan dalam rangkaian telekom berdekatan dengan pertukaran perayauan GPRS (GRX). Penggunaan inovatif GPRS Tunneling Protocol (GTP) untuk komunikasi Command-and-Control (C2) membezakan perisian hasad ini. Perayauan GPRS membolehkan pelanggan mengakses perkhidmatan GPRS mereka apabila berada di luar liputan rangkaian mudah alih rumah mereka. Ini dimungkinkan melalui GRX, yang memudahkan pengangkutan trafik perayauan menggunakan GTP antara Rangkaian Mudah Alih Tanah Awam (PLMN) yang dilawati dan rumah.

Pakar mengesyaki bahawa pintu belakang GTPDOOR berpotensi disambungkan kepada pelakon ancaman yang diiktiraf, LightBasin (juga dikenali sebagai UNC1945). Kumpulan penjenayah siber khusus ini telah dikaitkan dengan rentetan serangan yang ditujukan kepada sektor telekomunikasi, dengan objektif untuk mencuri maklumat pelanggan dan metadata panggilan.

Malware GTPDOOR Menyediakan Akses Haram kepada Penjenayah Siber

Selepas pelaksanaan, GTPDOOR memulakan operasinya dengan menukar nama prosesnya kepada '[syslog],' menyamar sebagai syslog yang dipanggil daripada kernel. Ia mengambil langkah untuk menyekat isyarat kanak-kanak dan meneruskan untuk membuka soket mentah, membolehkan implan memintas mesej UDP yang diarahkan pada antara muka rangkaian.

Pada dasarnya, GTPDOOR menyediakan saluran untuk aktor ancaman dengan kegigihan yang mantap pada rangkaian pertukaran perayauan untuk berkomunikasi dengan hos yang terjejas. Komunikasi ini dicapai dengan menghantar mesej GTP-C Echo Request yang mengandungi muatan berbahaya. Mesej Permintaan Gema GTP-C berfungsi sebagai saluran untuk menghantar arahan untuk dilaksanakan pada mesin yang dijangkiti dan menyampaikan keputusan kembali ke hos jauh.

GTPDOOR boleh disiasat secara diam-diam daripada rangkaian luaran, mencetuskan tindak balas dengan menghantar paket TCP ke mana-mana nombor port. Jika implan aktif, ia mengembalikan paket TCP kosong yang dibuat, bersama-sama dengan maklumat tentang sama ada port destinasi terbuka atau responsif pada hos.

Implan ini nampaknya disesuaikan untuk berada pada hos yang terjejas yang disambungkan terus ke rangkaian GRX - ini adalah sistem yang berkomunikasi dengan rangkaian operator telekomunikasi lain melalui GRX.

Malware GTPDOOR Melakukan Beberapa Tindakan Mengancam Setelah Diaktifkan

GTPDOOR terlibat dalam pelbagai aktiviti berniat jahat, termasuk mendengar paket bangun tertentu, yang dikenal pasti sebagai mesej permintaan gema GTP-C (jenis GTP 0x01). Hebatnya, hos tidak memerlukan soket atau perkhidmatan mendengar aktif, kerana semua paket UDP diterima ke dalam ruang pengguna melalui pembukaan soket mentah. Selain itu, GTPDOOR direka untuk melaksanakan perintah pada hos yang dinyatakan dalam paket ajaib, mengembalikan output kepada hos jauh dan menyokong fungsi jenis 'cangkang terbalik'. Kedua-dua permintaan dan respons dihantar sebagai mesej GTP_ECHO_REQUEST dan GTP_ECHO_RESPONSE, masing-masing.

Implan boleh disiasat secara diam-diam dari rangkaian luaran, mendorong tindak balas dengan menghantar paket TCP ke mana-mana nombor port. Jika implan aktif, ia mengembalikan paket TCP kosong yang dibuat, memberikan maklumat sama ada port destinasi terbuka atau responsif pada hos.

Untuk langkah keselamatan, GTPDOOR mengesahkan dan menyulitkan kandungan mesej paket GTP ajaib menggunakan sifir XOR yang mudah. Pada masa jalankan, ia boleh diarahkan untuk menukar kunci pengesahan dan penyulitannya melalui penguncian semula, menghalang kunci lalai yang dikod keras dalam binari daripada digunakan oleh pelaku ancaman lain. Untuk menggabungkan ke dalam persekitaran, GTPDOOR menukar nama prosesnya untuk menyerupai proses syslog yang digunakan sebagai benang kernel. Yang penting, ia beroperasi tanpa memerlukan perubahan tembok api kemasukan jika hos sasaran dibenarkan untuk berkomunikasi melalui port GTP-C.