Złośliwe oprogramowanie GTPDOOR

Analitycy bezpieczeństwa zidentyfikowali szkodliwe oprogramowanie dla systemu Linux o nazwie GTPDOOR, które zostało zaprojektowane specjalnie do wdrażania w sieciach telekomunikacyjnych w pobliżu central roamingowych GPRS (GRX). Innowacyjne wykorzystanie protokołu tunelowania GPRS (GTP) do komunikacji typu Command-and-Control (C2) wyróżnia to szkodliwe oprogramowanie. Roaming GPRS umożliwia abonentom dostęp do usług GPRS poza zasięgiem ich domowej sieci komórkowej. Jest to możliwe dzięki GRX, który ułatwia transport ruchu roamingowego za pomocą GTP pomiędzy odwiedzaną a macierzystą publiczną lądową siecią komórkową (PLMN).

Eksperci podejrzewają, że backdoor GTPDOOR jest potencjalnie powiązany z uznanym ugrupowaniem zagrażającym, LightBasinem (znanym również jako UNC1945). Tę konkretną grupę cyberprzestępczą powiązano z serią ataków wymierzonych w sektor telekomunikacyjny, których celem było wykradzenie informacji o abonencie i metadanych połączeń.

Złośliwe oprogramowanie GTPDOOR zapewnia nielegalny dostęp cyberprzestępcom

Po wykonaniu GTPDOOR inicjuje swoje operacje, zmieniając nazwę procesu na „[syslog]”, udając syslog wywoływany z jądra. Podejmuje kroki w celu stłumienia sygnałów podrzędnych i otwiera surowe gniazdo, umożliwiając implantowi przechwytywanie komunikatów UDP skierowanych do interfejsów sieciowych.

Zasadniczo GTPDOOR umożliwia ugrupowaniu zagrażającemu o ustalonej trwałości w sieci wymiany roamingowej komunikację z zaatakowanym hostem. Komunikacja ta odbywa się poprzez przesyłanie komunikatów żądania echa GTP-C zawierających szkodliwy ładunek. Komunikat żądania echa GTP-C służy jako kanał do wysyłania poleceń do wykonania na zainfekowanej maszynie i przekazywania wyników z powrotem do zdalnego hosta.

GTPDOOR można dyskretnie sondować z sieci zewnętrznej, wyzwalając odpowiedź poprzez wysłanie pakietu TCP na dowolny numer portu. Jeśli implant jest aktywny, zwraca spreparowany pusty pakiet TCP wraz z informacją o tym, czy port docelowy na hoście był otwarty lub odpowiadał.

Ten implant wydaje się być przystosowany do przebywania na zainfekowanych hostach bezpośrednio podłączonych do sieci GRX – są to systemy komunikujące się z sieciami innych operatorów telekomunikacyjnych za pośrednictwem GRX.

Po aktywacji złośliwe oprogramowanie GTPDOOR wykonuje kilka groźnych działań

GTPDOOR angażuje się w różne szkodliwe działania, w tym nasłuchuje określonego pakietu budzącego, identyfikowanego jako komunikat żądania echa GTP-C (typ GTP 0x01). Co ciekawe, host nie wymaga aktywnych gniazd ani usług nasłuchujących, ponieważ wszystkie pakiety UDP są odbierane do przestrzeni użytkownika poprzez otwarcie surowego gniazda. Dodatkowo GTPDOOR jest przeznaczony do wykonywania poleceń na hoście określonym w pakiecie magicznym, zwracając dane wyjściowe do zdalnego hosta i obsługując funkcjonalność typu „odwrotna powłoka”. Zarówno żądania, jak i odpowiedzi są przesyłane odpowiednio jako komunikaty GTP_ECHO_REQUEST i GTP_ECHO_RESPONSE.

Implant można dyskretnie sondować z sieci zewnętrznej, wywołując odpowiedź w postaci wysłania pakietu TCP na dowolny numer portu. Jeśli implant jest aktywny, zwraca spreparowany pusty pakiet TCP, dostarczając informacji o tym, czy port docelowy na hoście był otwarty lub odpowiadał.

Ze względów bezpieczeństwa GTPDOOR uwierzytelnia i szyfruje zawartość magicznych wiadomości pakietowych GTP przy użyciu prostego szyfru XOR. W czasie wykonywania może zostać poinstruowany, aby zmienić swój klucz uwierzytelniania i szyfrowania poprzez ponowne wprowadzenie klucza, zapobiegając wykorzystaniu przez inne podmioty zagrażające domyślnego klucza zakodowanego na stałe w pliku binarnym. Aby wtopić się w środowisko, GTPDOOR zmienia nazwę procesu, aby przypominała proces syslog wywoływany jako wątek jądra. Co ważne, działa bez konieczności wprowadzania zmian w zaporze wejściowej, jeśli host docelowy może komunikować się przez port GTP-C.