Вредоносное ПО GTPDOOR

Аналитики безопасности обнаружили вредоносное ПО для Linux под названием GTPDOOR, которое специально разработано для развертывания в телекоммуникационных сетях, расположенных рядом с роуминговыми станциями GPRS (GRX). Инновационное использование протокола туннелирования GPRS (GTP) для связи командования и управления (C2) выделяет это вредоносное ПО. GPRS-роуминг позволяет абонентам получать доступ к своим услугам GPRS, находясь за пределами зоны действия домашней мобильной сети. Это стало возможным благодаря GRX, который облегчает транспортировку роумингового трафика с использованием GTP между посещаемой и домашней наземной мобильной сетью общего пользования (PLMN).

Эксперты подозревают, что бэкдор GTPDOOR потенциально связан с признанным злоумышленником LightBasin (также известным как UNC1945). Эта конкретная группа киберпреступников была связана с серией атак, направленных на телекоммуникационный сектор с целью кражи информации об абонентах и метаданных вызовов.

Вредоносное ПО GTPDOOR обеспечивает незаконный доступ киберпреступникам

После выполнения GTPDOOR инициирует свои операции, изменяя имя своего процесса на «[syslog]», маскируясь под системный журнал, вызываемый из ядра. Он принимает меры по подавлению дочерних сигналов и приступает к открытию необработанного сокета, позволяя имплантату перехватывать UDP-сообщения, направленные на сетевые интерфейсы.

По сути, GTPDOOR предоставляет злоумышленнику возможность с установленным постоянством в сети роумингового обмена для связи со скомпрометированным хостом. Эта связь достигается путем передачи сообщений эхо-запроса GTP-C, содержащих вредоносную полезную нагрузку. Сообщение эхо-запроса GTP-C служит каналом для отправки команд, которые должны быть выполнены на зараженном компьютере, и передачи результатов обратно на удаленный хост.

GTPDOOR может быть незаметно проверен из внешней сети, вызывая ответ путем отправки TCP-пакета на любой номер порта. Если имплант активен, он возвращает созданный пустой TCP-пакет вместе с информацией о том, был ли порт назначения открыт или отвечал на хосте.

Этот имплантат, судя по всему, предназначен для размещения на скомпрометированных хостах, напрямую подключенных к сети GRX — это системы, которые обмениваются данными с сетями других операторов связи через GRX.

Вредоносная программа GTPDOOR выполняет несколько угрожающих действий после активации

GTPDOOR участвует в различных вредоносных действиях, включая прослушивание определенного пакета пробуждения, идентифицируемого как сообщение эхо-запроса GTP-C (тип GTP 0x01). Примечательно, что хосту не требуются активные сокеты или службы прослушивания, поскольку все UDP-пакеты принимаются в пространство пользователя посредством открытия необработанного сокета. Кроме того, GTPDOOR предназначен для выполнения команды на хосте, указанном в магическом пакете, возвращая выходные данные на удаленный хост и поддерживая функциональность типа «обратной оболочки». И запросы, и ответы передаются как сообщения GTP_ECHO_REQUEST и GTP_ECHO_RESPONSE соответственно.

Имплантат можно незаметно проверить из внешней сети, запросив ответ, отправив TCP-пакет на любой номер порта. Если имплант активен, он возвращает созданный пустой TCP-пакет, предоставляющий информацию о том, открыт или отвечает ли порт назначения на хосте.

В целях безопасности GTPDOOR аутентифицирует и шифрует содержимое сообщений магического пакета GTP с использованием простого шифра XOR. Во время выполнения ему можно дать указание изменить свой ключ аутентификации и шифрования путем повторного ввода ключа, предотвращая использование ключа по умолчанию, жестко запрограммированного в двоичном файле, другими субъектами угрозы. Чтобы слиться с окружающей средой, GTPDOOR меняет имя своего процесса, чтобы оно напоминало процесс системного журнала, вызываемый как поток ядра. Важно отметить, что он работает без необходимости внесения изменений в брандмауэр, если целевому хосту разрешено взаимодействовать через порт GTP-C.