GTPDOOR skadelig programvare

Sikkerhetsanalytikere har identifisert en Linux-malware kalt GTPDOOR, som er konstruert eksplisitt for distribusjon i telenettverk i nærheten av GPRS-roaming-sentraler (GRX). Dens innovative bruk av GPRS Tunneling Protocol (GTP) for Command-and-Control (C2)-kommunikasjon skiller denne skadelige programvaren fra hverandre. GPRS-roaming gjør det mulig for abonnenter å få tilgang til sine GPRS-tjenester når de er utenfor dekningen til deres hjemmemobilnettverk. Dette er muliggjort gjennom en GRX, som letter transporten av roamingtrafikk ved hjelp av GTP mellom besøkt og hjemmet Public Land Mobile Network (PLMN).

Eksperter mistenker at GTPDOOR-bakdøren potensielt er koblet til en anerkjent trusselaktør, LightBasin (også kjent som UNC1945). Denne spesifikke nettkriminelle gruppen har blitt knyttet til en rekke angrep rettet mot telekommunikasjonssektoren, med mål om å stjele abonnentinformasjon og samtalemetadata.

GTPDOOR Malware gir ulovlig tilgang til nettkriminelle

Ved kjøring starter GTPDOOR sine operasjoner ved å endre prosessnavnet til '[syslog],' som maskerer seg som en syslog som påkalles fra kjernen. Den tar tiltak for å undertrykke barnesignaler og fortsetter med å åpne en rå socket, slik at implantatet kan fange opp UDP-meldinger rettet mot nettverksgrensesnittene.

I hovedsak gir GTPDOOR en mulighet for en trusselaktør med etablert utholdenhet på roaming-utvekslingsnettverket til å kommunisere med en kompromittert vert. Denne kommunikasjonen oppnås ved å sende GTP-C Echo Request-meldinger som inneholder en skadelig nyttelast. GTP-C Echo Request-meldingen fungerer som en kanal for å sende kommandoer som skal utføres på den infiserte maskinen og videresende resultatene tilbake til den eksterne verten.

GTPDOOR kan undersøkes diskret fra et eksternt nettverk, og utløse et svar ved å sende en TCP-pakke til et hvilket som helst portnummer. Hvis implantatet er aktivt, returnerer det en laget tom TCP-pakke, sammen med informasjon om hvorvidt destinasjonsporten var åpen eller responsiv på verten.

Dette implantatet ser ut til å være skreddersydd for å ligge på kompromitterte verter som er direkte koblet til GRX-nettverket - dette er systemer som kommuniserer med andre telekommunikasjonsoperatørnettverk via GRX.

GTPDOOR Malware utfører flere truende handlinger når den er aktivert

GTPDOOR engasjerer seg i ulike ondsinnede aktiviteter, inkludert å lytte etter en spesifikk vekkepakke, identifisert som en GTP-C ekkoforespørselsmelding (GTP type 0x01). Bemerkelsesverdig nok krever ikke verten aktive lyttekontakter eller tjenester, ettersom alle UDP-pakker mottas i brukerrommet gjennom åpningen av en rå-socket. I tillegg er GTPDOOR designet for å utføre en kommando på verten spesifisert i den magiske pakken, returnere utdataene til den eksterne verten og støtte en funksjonalitet av typen "omvendt skall". Både forespørsler og svar sendes som henholdsvis GTP_ECHO_REQUEST- og GTP_ECHO_RESPONSE-meldinger.

Implantatet kan undersøkes diskret fra et eksternt nettverk, og be om et svar ved å sende en TCP-pakke til et hvilket som helst portnummer. Hvis implantatet er aktivt, returnerer det en laget tom TCP-pakke som gir informasjon om destinasjonsporten var åpen eller responsiv på verten.

For sikkerhetstiltak, autentiserer og krypterer GTPDOOR innholdet i magiske GTP-pakkemeldinger ved hjelp av en enkel XOR-chiffer. Ved kjøring kan den bli bedt om å endre autentiserings- og krypteringsnøkkelen gjennom omnøkkel, og forhindre at standardnøkkelen hardkodet i binærfilen blir brukt av andre trusselaktører. For å blande seg inn i miljøet endrer GTPDOOR prosessnavnet til å ligne en syslog-prosess som påkalles som en kjernetråd. Viktigere er at den fungerer uten å kreve inngående brannmurendringer hvis målverten har tillatelse til å kommunisere over GTP-C-porten.