GTPDOOR Malware

Analistët e sigurisë kanë identifikuar një malware Linux të quajtur GTPDOOR, i cili është krijuar në mënyrë eksplicite për t'u vendosur brenda rrjeteve të telekomit afër shkëmbimeve roaming GPRS (GRX). Përdorimi inovativ i GPRS Tunneling Protocol (GTP) për komunikimet Command-and-Control (C2) e veçon këtë malware. Roaming GPRS u mundëson pajtimtarëve të aksesojnë shërbimet e tyre GPRS kur janë jashtë mbulimit të rrjetit të tyre celular në shtëpi. Kjo mundësohet nëpërmjet një GRX, i cili lehtëson transportin e trafikut në roaming duke përdorur GTP ndërmjet Rrjetit Publik të Tokës Mobile (PLMN) të vizituar dhe atij shtëpiak.

Ekspertët dyshojnë se porta e pasme e GTPDOOR është e lidhur potencialisht me një aktor të njohur kërcënimi, LightBasin (i njohur gjithashtu si UNC1945). Ky grup specifik kriminal kibernetik ka qenë i lidhur me një sërë sulmesh që synojnë sektorin e telekomunikacionit, me objektivin e grabitjes së informacionit të abonentëve dhe të meta të dhënave të thirrjeve.

Malware GTPDOOR siguron qasje të paligjshme për kriminelët kibernetikë

Pas ekzekutimit, GTPDOOR fillon operacionet e tij duke ndryshuar emrin e procesit në '[syslog]', duke u maskuar si një syslog i thirrur nga kerneli. Ai merr masa për të shtypur sinjalet e fëmijëve dhe vazhdon të hapë një prizë të papërpunuar, duke i mundësuar implantit të përgjojë mesazhet UDP të drejtuara në ndërfaqet e rrjetit.

Në thelb, GTPDOOR ofron një rrugë për një aktor kërcënimi me këmbëngulje të vendosur në rrjetin e shkëmbimit roaming për të komunikuar me një host të komprometuar. Ky komunikim arrihet duke transmetuar mesazhe GTP-C Echo Request që përmbajnë një ngarkesë të dëmshme. Mesazhi GTP-C Echo Request shërben si një kanal për të dërguar komanda që do të ekzekutohen në makinën e infektuar dhe për të transmetuar rezultatet përsëri në hostin e largët.

GTPDOOR mund të hetohet në mënyrë diskrete nga një rrjet i jashtëm, duke shkaktuar një përgjigje duke dërguar një paketë TCP në çdo numër porti. Nëse implanti është aktiv, ai kthen një paketë boshe TCP të krijuar, së bashku me informacionin nëse porti i destinacionit ishte i hapur ose i përgjegjshëm në host.

Ky implant duket i përshtatur për t'u vendosur në hostet e komprometuar të lidhur drejtpërdrejt me rrjetin GRX - këto janë sisteme që komunikojnë me rrjetet e tjera të operatorëve të telekomunikacionit nëpërmjet GRX.

Malware GTPDOOR kryen disa veprime kërcënuese pasi aktivizohet

GTPDOOR angazhohet në aktivitete të ndryshme me qëllim të keq, duke përfshirë dëgjimin për një paketë zgjimi specifike, të identifikuar si një mesazh kërkese për jehonë GTP-C (lloji GTP 0x01). Çuditërisht, hosti nuk kërkon priza ose shërbime aktive të dëgjimit, pasi të gjitha paketat UDP pranohen në hapësirën e përdoruesit përmes hapjes së një foleje të papërpunuar. Për më tepër, GTPDOOR është projektuar për të ekzekutuar një komandë në hostin e specifikuar në paketën magjike, duke e kthyer daljen te hosti i largët dhe duke mbështetur një funksionalitet të tipit 'guaskë e kundërt'. Të dyja kërkesat dhe përgjigjet transmetohen si mesazhe GTP_ECHO_REQUEST dhe GTP_ECHO_RESPONSE, përkatësisht.

Implanti mund të hetohet në mënyrë diskrete nga një rrjet i jashtëm, duke nxitur një përgjigje duke dërguar një paketë TCP në çdo numër porti. Nëse implanti është aktiv, ai kthen një paketë boshe TCP të krijuar, duke ofruar informacion nëse porti i destinacionit ishte i hapur ose i përgjegjshëm në host.

Për masa sigurie, GTPDOOR vërteton dhe kodon përmbajtjen e mesazheve magjike të paketave GTP duke përdorur një shifër të thjeshtë XOR. Në kohën e ekzekutimit, mund të udhëzohet të ndryshojë çelësin e tij të vërtetimit dhe të enkriptimit përmes rikyçjes, duke parandaluar që çelësi i paracaktuar i koduar në binar të përdoret nga aktorë të tjerë të kërcënimit. Për t'u përzier me mjedisin, GTPDOOR ndryshon emrin e procesit për t'i ngjasuar një procesi syslog të thirrur si një thread kernel. E rëndësishmja, ai funksionon pa kërkuar ndryshime në murin e zjarrit të hyrjes nëse hosti i synuar lejohet të komunikojë përmes portit GTP-C.