GTPDOOR Malware

Analiștii de securitate au identificat un malware Linux numit GTPDOOR, care este conceput în mod explicit pentru implementarea în rețelele de telecomunicații din apropierea schimburilor de roaming GPRS (GRX). Utilizarea sa inovatoare a protocolului GPRS Tunneling Protocol (GTP) pentru comunicațiile Command-and-Control (C2) deosebește acest malware. Roamingul GPRS le permite abonaților să își acceseze serviciile GPRS atunci când se află în afara acoperirii rețelei lor mobile de acasă. Acest lucru este posibil printr-un GRX, care facilitează transportul traficului în roaming folosind GTP între rețeaua mobilă publică terestră (PLMN) vizitată și cea de acasă.

Experții bănuiesc că ușa din spate GTPDOOR este potențial conectată la un actor de amenințare recunoscut, LightBasin (cunoscut și ca UNC1945). Acest grup specific de infractori cibernetici a fost legat de un șir de atacuri care vizează sectorul telecomunicațiilor, cu scopul de a fura informațiile abonaților și metadatele apelurilor.

Programul malware GTPDOOR oferă acces ilegal infractorilor cibernetici

La execuție, GTPDOOR își inițiază operațiunile modificându-și numele procesului în „[syslog]”, mascandu-se ca un syslog invocat din nucleu. Acesta ia măsuri pentru a suprima semnalele copilului și deschide o priză brută, permițând implantului să intercepteze mesajele UDP direcționate către interfețele de rețea.

În esență, GTPDOOR oferă o cale pentru un actor de amenințare cu persistență stabilită pe rețeaua de schimb de roaming pentru a comunica cu o gazdă compromisă. Această comunicare se realizează prin transmiterea mesajelor GTP-C Echo Request care conțin o sarcină utilă dăunătoare. Mesajul GTP-C Echo Request servește drept canal pentru trimiterea comenzilor care urmează să fie executate pe mașina infectată și transmiterea rezultatelor înapoi către gazda de la distanță.

GTPDOOR poate fi sondat discret dintr-o rețea externă, declanșând un răspuns prin trimiterea unui pachet TCP la orice număr de port. Dacă implantul este activ, returnează un pachet TCP gol creat, împreună cu informații despre dacă portul de destinație a fost deschis sau receptiv pe gazdă.

Acest implant pare adaptat pentru a locui pe gazde compromise conectate direct la rețeaua GRX - acestea sunt sisteme care comunică cu alte rețele de operator de telecomunicații prin intermediul GRX.

Programul malware GTPDOOR efectuează mai multe acțiuni amenințătoare odată activat

GTPDOOR se angajează în diverse activități rău intenționate, inclusiv ascultarea unui anumit pachet de trezire, identificat ca un mesaj de solicitare ecou GTP-C (tip GTP 0x01). În mod remarcabil, gazda nu necesită prize sau servicii de ascultare activă, deoarece toate pachetele UDP sunt primite în spațiul utilizatorului prin deschiderea unui socket brut. În plus, GTPDOOR este proiectat să execute o comandă pe gazda specificată în pachetul magic, returnând ieșirea gazdei de la distanță și acceptând o funcționalitate de tip „reverse shell”. Atât cererile, cât și răspunsurile sunt transmise ca mesaje GTP_ECHO_REQUEST și, respectiv, GTP_ECHO_RESPONSE.

Implantul poate fi sondat discret dintr-o rețea externă, provocând un răspuns prin trimiterea unui pachet TCP la orice număr de port. Dacă implantul este activ, returnează un pachet TCP gol creat, furnizând informații despre dacă portul de destinație a fost deschis sau receptiv pe gazdă.

Pentru măsuri de securitate, GTPDOOR autentifică și criptează conținutul mesajelor magice de pachete GTP folosind un simplu cifru XOR. În timpul execuției, acesta poate fi instruit să-și schimbe cheia de autentificare și criptare prin reintroducere, împiedicând utilizarea cheii implicite codificate în binar de către alți actori amenințări. Pentru a se integra în mediu, GTPDOOR își schimbă numele procesului pentru a semăna cu un proces syslog invocat ca un fir de nucleu. Important este că funcționează fără a necesita modificări de firewall de intrare dacă gazda țintă are permisiunea de a comunica prin portul GTP-C.