GTPDOOR malvér

Bezpečnostní analytici identifikovali linuxový malvér s názvom GTPDOOR, ktorý je navrhnutý výslovne na nasadenie v rámci telekomunikačných sietí v blízkosti GPRS roamingových výmen (GRX). Jeho inovatívne využitie protokolu GPRS Tunneling Protocol (GTP) na komunikáciu typu Command-and-Control (C2) odlišuje tento malvér. Roaming GPRS umožňuje predplatiteľom prístup k ich službám GPRS, keď sú mimo pokrytia ich domácej mobilnej siete. Umožňuje to GRX, ktorý uľahčuje prenos roamingovej prevádzky pomocou GTP medzi navštívenou a domácou verejnou pozemnou mobilnou sieťou (PLMN).

Odborníci sa domnievajú, že zadné vrátka GTPDOOR sú potenciálne spojené s uznávaným aktérom hrozby, LightBasin (známy aj ako UNC1945). Táto špecifická skupina kyberzločincov bola spojená s radom útokov zameraných na telekomunikačný sektor s cieľom ukradnúť informácie o predplatiteľoch a metaúdaje hovorov.

Malvér GTPDOOR poskytuje kyberzločincom nezákonný prístup

Po spustení GTPDOOR iniciuje svoje operácie zmenou názvu svojho procesu na '[syslog], čo sa maskuje ako syslog vyvolaný z jadra. Prijme opatrenia na potlačenie detských signálov a pokračuje v otvorení surovej zásuvky, čo umožňuje implantátu zachytiť správy UDP smerované na sieťové rozhrania.

GTPDOOR v podstate poskytuje cestu pre aktéra hrozby so zavedenou perzistenciou v roamingovej výmennej sieti na komunikáciu s kompromitovaným hostiteľom. Táto komunikácia sa dosahuje prenosom správ GTP-C Echo Request obsahujúcich škodlivé užitočné zaťaženie. Správa GTP-C Echo Request slúži ako kanál na odosielanie príkazov, ktoré sa majú vykonať na infikovanom počítači, a odovzdávanie výsledkov späť vzdialenému hostiteľovi.

GTPDOOR je možné diskrétne otestovať z externej siete a spustiť odpoveď odoslaním paketu TCP na ľubovoľné číslo portu. Ak je implantát aktívny, vráti vytvorený prázdny paket TCP spolu s informáciou o tom, či bol cieľový port otvorený alebo reagoval na hostiteľovi.

Zdá sa, že tento implantát je prispôsobený na umiestnenie na kompromitovaných hostiteľoch priamo pripojených k sieti GRX – ide o systémy, ktoré komunikujú so sieťami iných telekomunikačných operátorov prostredníctvom GRX.

Malvér GTPDOOR po aktivácii vykoná niekoľko hrozivých akcií

GTPDOOR sa zapája do rôznych škodlivých aktivít, vrátane počúvania špecifického prebudenia, identifikovaného ako GTP-C echo request message (GTP typ 0x01). Je pozoruhodné, že hostiteľ nevyžaduje aktívne počúvanie soketov alebo služieb, pretože všetky UDP pakety sú prijímané do užívateľského priestoru cez otvorenie surového soketu. Okrem toho je GTPDOOR navrhnutý tak, aby vykonal príkaz na hostiteľovi špecifikovanom v magickom pakete, vrátil výstup vzdialenému hostiteľovi a podporoval funkciu typu „reverzný shell“. Požiadavky aj odpovede sa prenášajú ako správy GTP_ECHO_REQUEST a GTP_ECHO_RESPONSE.

Implantát je možné diskrétne otestovať z externej siete, čo si vyžiada odpoveď odoslaním paketu TCP na ľubovoľné číslo portu. Ak je implantát aktívny, vráti vytvorený prázdny paket TCP, ktorý poskytuje informácie o tom, či bol cieľový port otvorený alebo reagoval na hostiteľovi.

Z bezpečnostných dôvodov GTPDOOR overuje a šifruje obsah magických správ GTP paketov pomocou jednoduchej šifry XOR. Za behu môže dostať pokyn, aby zmenil svoj autentifikačný a šifrovací kľúč prostredníctvom opätovného kľúča, čím sa zabráni tomu, aby predvolený kľúč pevne zakódovaný v binárnom kóde použili iní aktéri hrozieb. Aby GTPDOOR zapadol do prostredia, zmení názov svojho procesu tak, aby pripomínal proces syslog vyvolaný ako vlákno jadra. Dôležité je, že funguje bez potreby zmien vstupnej brány firewall, ak má cieľový hostiteľ povolenie komunikovať cez port GTP-C.