GTPDOOR ਮਾਲਵੇਅਰ

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ GTPDOOR ਨਾਮਕ ਇੱਕ ਲੀਨਕਸ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਕਿ GPRS ਰੋਮਿੰਗ ਐਕਸਚੇਂਜ (GRX) ਦੇ ਨੇੜੇ ਦੂਰਸੰਚਾਰ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਤੈਨਾਤੀ ਲਈ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਲਈ GPRS ਟਨਲਿੰਗ ਪ੍ਰੋਟੋਕੋਲ (GTP) ਦੀ ਇਸਦੀ ਨਵੀਨਤਾਕਾਰੀ ਵਰਤੋਂ ਇਸ ਮਾਲਵੇਅਰ ਨੂੰ ਵੱਖ ਕਰਦੀ ਹੈ। GPRS ਰੋਮਿੰਗ ਗਾਹਕਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਘਰੇਲੂ ਮੋਬਾਈਲ ਨੈੱਟਵਰਕ ਦੇ ਕਵਰੇਜ ਤੋਂ ਬਾਹਰ ਹੋਣ 'ਤੇ ਉਹਨਾਂ ਦੀਆਂ GPRS ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ। ਇਹ ਇੱਕ GRX ਦੁਆਰਾ ਸੰਭਵ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਜੋ ਵਿਜ਼ਿਟ ਕੀਤੇ ਅਤੇ ਹੋਮ ਪਬਲਿਕ ਲੈਂਡ ਮੋਬਾਈਲ ਨੈੱਟਵਰਕ (PLMN) ਵਿਚਕਾਰ GTP ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਰੋਮਿੰਗ ਟ੍ਰੈਫਿਕ ਦੀ ਆਵਾਜਾਈ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।

ਮਾਹਿਰਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ GTPDOOR ਬੈਕਡੋਰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਇੱਕ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਧਮਕੀ ਅਭਿਨੇਤਾ, LightBasin (UNC1945 ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਇਸ ਵਿਸ਼ੇਸ਼ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਨੂੰ ਗਾਹਕਾਂ ਦੀ ਜਾਣਕਾਰੀ ਅਤੇ ਕਾਲ ਮੈਟਾਡੇਟਾ ਚੋਰੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਦੂਰਸੰਚਾਰ ਖੇਤਰ 'ਤੇ ਕੀਤੇ ਗਏ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ।

GTPDOOR ਮਾਲਵੇਅਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਗੈਰ-ਕਾਨੂੰਨੀ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਹੋਣ 'ਤੇ, GTPDOOR ਇਸ ਦੇ ਪ੍ਰਕਿਰਿਆ ਦੇ ਨਾਮ ਨੂੰ '[syslog]' ਵਿੱਚ ਬਦਲ ਕੇ, ਕਰਨਲ ਤੋਂ ਮੰਗੇ ਗਏ ਇੱਕ syslog ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕੇਰੇਡਿੰਗ ਕਰਕੇ ਆਪਣਾ ਕੰਮ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹ ਚਾਈਲਡ ਸਿਗਨਲਾਂ ਨੂੰ ਦਬਾਉਣ ਲਈ ਉਪਾਅ ਕਰਦਾ ਹੈ ਅਤੇ ਇੱਕ ਕੱਚਾ ਸਾਕਟ ਖੋਲ੍ਹਣ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਮਪਲਾਂਟ ਨੂੰ ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ UDP ਸੁਨੇਹਿਆਂ ਨੂੰ ਰੋਕਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਸੰਖੇਪ ਰੂਪ ਵਿੱਚ, GTPDOOR ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨ ਨਾਲ ਸੰਚਾਰ ਕਰਨ ਲਈ ਰੋਮਿੰਗ ਐਕਸਚੇਂਜ ਨੈੱਟਵਰਕ 'ਤੇ ਸਥਾਪਤ ਦ੍ਰਿੜਤਾ ਦੇ ਨਾਲ ਇੱਕ ਧਮਕੀ ਅਦਾਕਾਰ ਲਈ ਇੱਕ ਰਾਹ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਸੰਚਾਰ ਹਾਨੀਕਾਰਕ ਪੇਲੋਡ ਵਾਲੇ GTP-C ਈਕੋ ਬੇਨਤੀ ਸੰਦੇਸ਼ਾਂ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। GTP-C ਈਕੋ ਬੇਨਤੀ ਸੁਨੇਹਾ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ 'ਤੇ ਚੱਲਣ ਵਾਲੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਭੇਜਣ ਲਈ ਇੱਕ ਕੰਡਿਊਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਨਤੀਜਿਆਂ ਨੂੰ ਰਿਮੋਟ ਹੋਸਟ ਨੂੰ ਵਾਪਸ ਭੇਜਦਾ ਹੈ।

GTPDOOR ਨੂੰ ਕਿਸੇ ਬਾਹਰੀ ਨੈੱਟਵਰਕ ਤੋਂ ਸਮਝਦਾਰੀ ਨਾਲ ਜਾਂਚਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਕਿਸੇ ਵੀ ਪੋਰਟ ਨੰਬਰ 'ਤੇ TCP ਪੈਕੇਟ ਭੇਜ ਕੇ ਜਵਾਬ ਨੂੰ ਚਾਲੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਇਮਪਲਾਂਟ ਕਿਰਿਆਸ਼ੀਲ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਤਿਆਰ ਕੀਤਾ ਖਾਲੀ TCP ਪੈਕੇਟ ਵਾਪਸ ਕਰਦਾ ਹੈ, ਇਸ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਕਿ ਕੀ ਮੰਜ਼ਿਲ ਪੋਰਟ ਖੁੱਲ੍ਹੀ ਸੀ ਜਾਂ ਹੋਸਟ 'ਤੇ ਜਵਾਬਦੇਹ ਸੀ।

ਇਹ ਇਮਪਲਾਂਟ GRX ਨੈੱਟਵਰਕ ਨਾਲ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਜੁੜੇ ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨਾਂ 'ਤੇ ਰਹਿਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਜਾਪਦਾ ਹੈ - ਇਹ ਉਹ ਸਿਸਟਮ ਹਨ ਜੋ GRX ਰਾਹੀਂ ਦੂਜੇ ਦੂਰਸੰਚਾਰ ਆਪਰੇਟਰ ਨੈੱਟਵਰਕਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਦੇ ਹਨ।

GTPDOOR ਮਾਲਵੇਅਰ ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ ਕਈ ਧਮਕੀ ਭਰੀਆਂ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ

GTPDOOR ਵੱਖ-ਵੱਖ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਖਾਸ ਵੇਕਅੱਪ ਪੈਕੇਟ ਨੂੰ ਸੁਣਨਾ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਜਿਸਦੀ ਪਛਾਣ ਇੱਕ GTP-C ਈਕੋ ਬੇਨਤੀ ਸੰਦੇਸ਼ (GTP ਕਿਸਮ 0x01) ਵਜੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਕਮਾਲ ਦੀ ਗੱਲ ਹੈ, ਹੋਸਟ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਸੁਣਨ ਵਾਲੇ ਸਾਕਟਾਂ ਜਾਂ ਸੇਵਾਵਾਂ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ, ਕਿਉਂਕਿ ਸਾਰੇ UDP ਪੈਕੇਟ ਇੱਕ ਕੱਚੇ ਸਾਕਟ ਦੇ ਖੁੱਲਣ ਦੁਆਰਾ ਉਪਭੋਗਤਾ ਸਪੇਸ ਵਿੱਚ ਪ੍ਰਾਪਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, GTPDOOR ਨੂੰ ਮੈਜਿਕ ਪੈਕੇਟ ਵਿੱਚ ਦਰਸਾਏ ਹੋਸਟ 'ਤੇ ਕਮਾਂਡ ਚਲਾਉਣ ਲਈ, ਰਿਮੋਟ ਹੋਸਟ ਨੂੰ ਆਉਟਪੁੱਟ ਵਾਪਸ ਕਰਨ ਅਤੇ 'ਰਿਵਰਸ ਸ਼ੈੱਲ' ਕਿਸਮ ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਬੇਨਤੀਆਂ ਅਤੇ ਜਵਾਬ ਦੋਵੇਂ ਕ੍ਰਮਵਾਰ GTP_ECHO_REQUEST ਅਤੇ GTP_ECHO_RESPONSE ਸੁਨੇਹਿਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।

ਇਮਪਲਾਂਟ ਨੂੰ ਕਿਸੇ ਬਾਹਰੀ ਨੈਟਵਰਕ ਤੋਂ ਸਮਝਦਾਰੀ ਨਾਲ ਜਾਂਚਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਕਿਸੇ ਵੀ ਪੋਰਟ ਨੰਬਰ 'ਤੇ TCP ਪੈਕੇਟ ਭੇਜ ਕੇ ਜਵਾਬ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਇਮਪਲਾਂਟ ਕਿਰਿਆਸ਼ੀਲ ਹੈ, ਤਾਂ ਇਹ ਇੱਕ ਤਿਆਰ ਕੀਤਾ ਖਾਲੀ TCP ਪੈਕੇਟ ਵਾਪਸ ਕਰਦਾ ਹੈ, ਇਹ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਮੰਜ਼ਿਲ ਪੋਰਟ ਖੁੱਲ੍ਹੀ ਸੀ ਜਾਂ ਹੋਸਟ 'ਤੇ ਜਵਾਬਦੇਹ ਸੀ।

ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਲਈ, GTPDOOR ਇੱਕ ਸਧਾਰਨ XOR ਸਾਈਫਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਮੈਜਿਕ GTP ਪੈਕੇਟ ਸੰਦੇਸ਼ਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। ਰਨਟਾਈਮ 'ਤੇ, ਇਸ ਨੂੰ ਰੀਕੀਇੰਗ ਦੁਆਰਾ ਇਸਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਨੂੰ ਬਦਲਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਬਾਈਨਰੀ ਵਿੱਚ ਹਾਰਡਕੋਡ ਕੀਤੀ ਡਿਫੌਲਟ ਕੁੰਜੀ ਨੂੰ ਹੋਰ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਉਪਯੋਗ ਕੀਤੇ ਜਾਣ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਵਾਤਾਵਰਣ ਵਿੱਚ ਰਲਣ ਲਈ, GTPDOOR ਇੱਕ ਕਰਨਲ ਥ੍ਰੈਡ ਦੇ ਤੌਰ ਤੇ ਬੁਲਾਈ ਗਈ ਇੱਕ syslog ਪ੍ਰਕਿਰਿਆ ਦੇ ਸਮਾਨ ਹੋਣ ਲਈ ਆਪਣੇ ਪ੍ਰਕਿਰਿਆ ਦਾ ਨਾਮ ਬਦਲਦਾ ਹੈ। ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ, ਜੇ ਟੀਚੇ ਦੇ ਹੋਸਟ ਨੂੰ GTP-C ਪੋਰਟ 'ਤੇ ਸੰਚਾਰ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਇਹ ਫਾਇਰਵਾਲ ਤਬਦੀਲੀਆਂ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਕੰਮ ਕਰਦਾ ਹੈ।