GTPDOOR Skadlig programvara

Säkerhetsanalytiker har identifierat en Linux-skadlig programvara som heter GTPDOOR, som är konstruerad explicit för distribution inom telekomnätverk nära GPRS-roaming-utbyten (GRX). Dess innovativa användning av GPRS Tunneling Protocol (GTP) för Command-and-Control (C2)-kommunikation skiljer denna skadliga programvara åt. GPRS-roaming gör det möjligt för abonnenter att komma åt sina GPRS-tjänster när de är utanför täckningen av deras hemmobilnät. Detta möjliggörs genom en GRX, som underlättar transporten av roamingtrafik med hjälp av GTP mellan det besökta och hema Public Land Mobile Network (PLMN).

Experter misstänker att GTPDOOR-bakdörren potentiellt är kopplad till en erkänd hotaktör, LightBasin (även känd som UNC1945). Denna specifika cyberkriminella grupp har kopplats till en rad attacker riktade mot telekommunikationssektorn, med syftet att stjäla abonnentinformation och samtalsmetadata.

GTPDOOR Malware ger illegal åtkomst till cyberbrottslingar

Vid exekvering initierar GTPDOOR sina operationer genom att ändra dess processnamn till '[syslog],' maskerad som en syslog som anropas från kärnan. Den vidtar åtgärder för att undertrycka barnsignaler och fortsätter att öppna en rå socket, vilket gör att implantatet kan fånga upp UDP-meddelanden riktade mot nätverksgränssnitten.

I grund och botten ger GTPDOOR en väg för en hotaktör med etablerad uthållighet på roamingväxelnätverket att kommunicera med en komprometterad värd. Denna kommunikation uppnås genom att sända GTP-C Echo Request-meddelanden som innehåller en skadlig nyttolast. Meddelandet GTP-C Echo Request fungerar som en kanal för att skicka kommandon som ska köras på den infekterade maskinen och vidarebefordra resultaten till fjärrvärden.

GTPDOOR kan diskret avsökas från ett externt nätverk och utlösa ett svar genom att skicka ett TCP-paket till valfritt portnummer. Om implantatet är aktivt returnerar det ett tillverkat tomt TCP-paket tillsammans med information om huruvida destinationsporten var öppen eller responsiv på värden.

Detta implantat verkar skräddarsytt för att ligga på komprometterade värdar som är direkt anslutna till GRX-nätverket – det här är system som kommunicerar med andra teleoperatörsnätverk via GRX.

GTPDOOR Malware utför flera hotfulla åtgärder när den har aktiverats

GTPDOOR engagerar sig i olika skadliga aktiviteter, inklusive att lyssna efter ett specifikt väckningspaket, identifierat som ett GTP-C-ekobegäranmeddelande (GTP-typ 0x01). Anmärkningsvärt är att värden inte kräver aktiva lyssningssockets eller tjänster, eftersom alla UDP-paket tas emot i användarutrymmet genom öppningen av en rå-socket. Dessutom är GTPDOOR utformad för att utföra ett kommando på den värd som anges i det magiska paketet, returnera utdata till fjärrvärden och stödja en funktionalitet av "omvänd skal". Både förfrågningar och svar sänds som GTP_ECHO_REQUEST respektive GTP_ECHO_RESPONSE meddelanden.

Implantatet kan avsökas diskret från ett externt nätverk, vilket ger ett svar genom att skicka ett TCP-paket till valfritt portnummer. Om implantatet är aktivt returnerar det ett tillverkat tomt TCP-paket, som ger information om huruvida destinationsporten var öppen eller responsiv på värden.

För säkerhetsåtgärder autentiserar och krypterar GTPDOOR innehållet i magiska GTP-paketmeddelanden med ett enkelt XOR-chiffer. Under körning kan den instrueras att ändra sin autentiserings- och krypteringsnyckel genom omnyckel, vilket förhindrar att standardnyckeln hårdkodad i binären används av andra hotaktörer. För att smälta in i miljön ändrar GTPDOOR dess processnamn för att likna en syslog-process som anropas som en kärntråd. Viktigt är att den fungerar utan att kräva ändringar av ingångsbrandväggen om målvärden tillåts kommunicera över GTP-C-porten.