GTPDOOR Malware

Analistas de segurança identificaram um malware Linux chamado GTPDOOR, que foi projetado explicitamente para implantação em redes de telecomunicações próximas a centrais de roaming GPRS (GRX). Sua utilização inovadora do GPRS Tunneling Protocol (GTP) para comunicações de comando e controle (C2) diferencia esse malware. O roaming GPRS permite que os assinantes acessem seus serviços GPRS quando estiverem fora da cobertura de sua rede móvel doméstica. Isto é possível através de um GRX, que facilita o transporte do tráfego de roaming através de GTP entre a Rede Móvel Terrestre Pública (PLMN) visitada e a de origem.

Os especialistas suspeitam que o backdoor GTPDOOR está potencialmente conectado a um agente de ameaça reconhecido, LightBasin (também conhecido como UNC1945). Este grupo cibercriminoso específico tem sido associado a uma série de ataques dirigidos ao sector das telecomunicações, com o objectivo de roubar informações de assinantes e metadados de chamadas.

O GTPDOOR Malware Fornece Acesso Ilegal a Cibercriminosos

Após a execução, o GTPDOOR inicia suas operações alterando o nome do processo para '[syslog]', disfarçando-se como um syslog invocado do kernel. Ele toma medidas para suprimir sinais filhos e abre um soquete bruto, permitindo que o implante intercepte mensagens UDP direcionadas às interfaces de rede.

Em essência, o GTPDOOR fornece um caminho para um agente de ameaça com persistência estabelecida na rede de intercâmbio em roaming se comunicar com um host comprometido. Esta comunicação é obtida através da transmissão de mensagens de solicitação de eco GTP-C contendo uma carga prejudicial. A mensagem GTP-C Echo Request serve como um canal para enviar comandos a serem executados na máquina infectada e retransmitir os resultados de volta ao host remoto.

GTPDOOR pode ser investigado discretamente a partir de uma rede externa, acionando uma resposta enviando um pacote TCP para qualquer número de porta. Se o implante estiver ativo, ele retornará um pacote TCP vazio criado, juntamente com informações sobre se a porta de destino estava aberta ou respondendo no host.

Este implante parece adaptado para residir em hosts comprometidos diretamente conectados à rede GRX – estes são sistemas que se comunicam com redes de outras operadoras de telecomunicações através do GRX.

O GTPDOOR Malware Executa Várias Ações Ameaçadoras depois de Ativado

O GTPDOOR se envolve em diversas atividades maliciosas, incluindo a escuta de um pacote de ativação específico, identificado como uma mensagem de solicitação de eco GTP-C (GTP tipo 0x01). Notavelmente, o host não necessita de soquetes ou serviços de escuta ativa, pois todos os pacotes UDP são recebidos no espaço do usuário através da abertura de um soquete bruto. Além disso, GTPDOOR foi projetado para executar um comando no host especificado no pacote mágico, retornando a saída para o host remoto e suportando uma funcionalidade do tipo 'shell reverso'. Tanto as solicitações quanto as respostas são transmitidas como mensagens GTP_ECHO_REQUEST e GTP_ECHO_RESPONSE, respectivamente.

O implante pode ser sondado discretamente a partir de uma rede externa, solicitando uma resposta enviando um pacote TCP para qualquer número de porta. Se o implante estiver ativo, ele retornará um pacote TCP vazio criado, fornecendo informações sobre se a porta de destino estava aberta ou respondendo no host.

Por medidas de segurança, GTPDOOR autentica e criptografa o conteúdo de mensagens mágicas de pacotes GTP usando uma cifra XOR simples. Em tempo de execução, ele pode ser instruído a alterar sua chave de autenticação e criptografia por meio de rechaveamento, evitando que a chave padrão codificada no binário seja utilizada por outros atores de ameaças. Para se integrar ao ambiente, GTPDOOR altera seu nome de processo para se parecer com um processo syslog invocado como um thread de kernel. É importante ressaltar que ele opera sem exigir alterações no firewall de entrada se o host de destino tiver permissão para se comunicar pela porta GTP-C.