GTPDOOR Zlonamerna programska oprema

Varnostni analitiki so odkrili zlonamerno programsko opremo Linux z imenom GTPDOOR, ki je zasnovana izrecno za uporabo v telekomunikacijskih omrežjih v bližini gostujočih central GPRS (GRX). Njegova inovativna uporaba protokola GPRS Tunneling Protocol (GTP) za komunikacije ukazov in nadzora (C2) loči to zlonamerno programsko opremo. GPRS gostovanje naročnikom omogoča dostop do storitev GPRS, ko so zunaj dosega domačega mobilnega omrežja. To omogoča GRX, ki olajša prenos gostujočega prometa z uporabo GTP med obiskanim in domačim javnim kopenskim mobilnim omrežjem (PLMN).

Strokovnjaki sumijo, da so zadnja vrata GTPDOOR potencialno povezana s priznanim akterjem grožnje, LightBasin (znan tudi kot UNC1945). Ta specifična skupina kibernetskih kriminalcev je bila povezana z nizom napadov, namenjenih telekomunikacijskemu sektorju, s ciljem kraje informacij o naročnikih in metapodatkov o klicih.

Zlonamerna programska oprema GTPDOOR kibernetskim kriminalcem omogoča nezakonit dostop

Po izvedbi GTPDOOR začne svoje operacije tako, da spremeni ime svojega procesa v '[syslog],' ki se prikrije kot sistemski dnevnik, priklican iz jedra. Sprejema ukrepe za zatiranje podrejenih signalov in nadaljuje z odpiranjem neobdelane vtičnice, kar vsadku omogoča prestrezanje sporočil UDP, usmerjenih na omrežne vmesnike.

V bistvu GTPDOOR omogoča akterju grožnje z vztrajnostjo v gostujočem omrežju izmenjave komunikacijo z ogroženim gostiteljem. Ta komunikacija se doseže s prenosom sporočil GTP-C Echo Request, ki vsebujejo škodljivo koristno vsebino. Sporočilo GTP-C Echo Request služi kot kanal za pošiljanje ukazov, ki jih je treba izvesti na okuženem računalniku, in posredovanje rezultatov nazaj oddaljenemu gostitelju.

GTPDOOR je mogoče diskretno preveriti iz zunanjega omrežja in sprožiti odziv s pošiljanjem paketa TCP na katero koli številko vrat. Če je vsadek aktiven, vrne oblikovan prazen paket TCP skupaj z informacijami o tem, ali so bila ciljna vrata odprta ali odzivna na gostitelju.

Zdi se, da je ta vsadek prilagojen za bivanje na ogroženih gostiteljih, neposredno povezanih z omrežjem GRX – to so sistemi, ki komunicirajo z drugimi omrežji telekomunikacijskih operaterjev prek GRX.

Ko je zlonamerna programska oprema GTPDOOR aktivirana, izvede več nevarnih dejanj

GTPDOOR se ukvarja z različnimi zlonamernimi dejavnostmi, vključno s poslušanjem določenega paketa za bujenje, identificiranega kot sporočilo z zahtevo za odmev GTP-C (vrsta GTP 0x01). Zanimivo je, da gostitelju niso potrebne vtičnice ali storitve aktivnega poslušanja, saj so vsi paketi UDP prejeti v uporabniški prostor prek odprtine neobdelane vtičnice. Poleg tega je GTPDOOR zasnovan za izvajanje ukaza na gostitelju, določenem v čarobnem paketu, vrnitev izhoda oddaljenemu gostitelju in podpira funkcijo tipa 'povratne lupine'. Zahteve in odgovori se prenašajo kot sporočila GTP_ECHO_REQUEST oziroma GTP_ECHO_RESPONSE.

Vsadek je mogoče diskretno preizkusiti iz zunanjega omrežja, kar povzroči odziv s pošiljanjem paketa TCP na katero koli številko vrat. Če je vsadek aktiven, vrne oblikovan prazen paket TCP, ki zagotavlja informacije o tem, ali so bila ciljna vrata odprta ali odzivna na gostitelju.

Za varnostne ukrepe GTPDOOR preverja pristnost in šifrira vsebino čarobnih GTP paketnih sporočil s preprosto šifro XOR. Med izvajanjem se mu lahko naroči, da spremeni svoj ključ za preverjanje pristnosti in šifriranje s ponovnim vnosom ključev, s čimer prepreči, da bi drugi akterji groženj uporabili privzeti ključ, ki je trdo kodiran v binarnem sistemu. Da bi se zlil z okoljem, GTPDOOR spremeni ime svojega procesa tako, da je podoben procesu syslog, ki je priklican kot nit jedra. Pomembno je, da deluje, ne da bi zahteval spremembe vhodnega požarnega zidu, če je ciljnemu gostitelju dovoljeno komunicirati prek vrat GTP-C.