GTPDOOR మాల్వేర్
భద్రతా విశ్లేషకులు GTPDOOR అనే Linux మాల్వేర్ను గుర్తించారు, ఇది GPRS రోమింగ్ ఎక్స్ఛేంజీలకు (GRX) సమీపంలో ఉన్న టెలికాం నెట్వర్క్లలో విస్తరణ కోసం ప్రత్యేకంగా రూపొందించబడింది. కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్ల కోసం GPRS టన్నెలింగ్ ప్రోటోకాల్ (GTP) యొక్క వినూత్న వినియోగం ఈ మాల్వేర్ను వేరు చేస్తుంది. GPRS రోమింగ్ చందాదారులు వారి ఇంటి మొబైల్ నెట్వర్క్ కవరేజీకి వెలుపల ఉన్నప్పుడు వారి GPRS సేవలను యాక్సెస్ చేయడానికి వీలు కల్పిస్తుంది. ఇది GRX ద్వారా సాధ్యమవుతుంది, ఇది సందర్శించిన మరియు ఇంటి పబ్లిక్ ల్యాండ్ మొబైల్ నెట్వర్క్ (PLMN) మధ్య GTPని ఉపయోగించి రోమింగ్ ట్రాఫిక్ను రవాణా చేయడానికి వీలు కల్పిస్తుంది.
GTPDOOR బ్యాక్డోర్ గుర్తించబడిన ముప్పు నటుడైన లైట్బాసిన్ (దీనిని UNC1945 అని కూడా పిలుస్తారు)కి అనుసంధానించబడిందని నిపుణులు అనుమానిస్తున్నారు. చందాదారుల సమాచారం మరియు కాల్ మెటాడేటాను దొంగిలించే లక్ష్యంతో టెలికమ్యూనికేషన్స్ సెక్టార్ను లక్ష్యంగా చేసుకుని ఈ నిర్దిష్ట సైబర్క్రిమినల్ గ్రూప్ దాడుల స్ట్రింగ్కు లింక్ చేయబడింది.
GTPDOOR మాల్వేర్ సైబర్ నేరస్థులకు చట్టవిరుద్ధమైన యాక్సెస్లను అందిస్తుంది
అమలు చేయబడిన తర్వాత, GTPDOOR దాని ప్రాసెస్ పేరును '[syslog]'గా మార్చడం ద్వారా దాని కార్యకలాపాలను ప్రారంభిస్తుంది, ఇది కెర్నల్ నుండి సిస్లాగ్గా మార్చబడుతుంది. ఇది చైల్డ్ సిగ్నల్లను అణిచివేసేందుకు చర్యలు తీసుకుంటుంది మరియు నెట్వర్క్ ఇంటర్ఫేస్ల వద్ద నిర్దేశించబడిన UDP సందేశాలను అంతరాయం కలిగించడానికి ఇంప్లాంట్ను ప్రారంభిస్తుంది.
సారాంశంలో, GTPDOOR రాజీపడిన హోస్ట్తో కమ్యూనికేట్ చేయడానికి రోమింగ్ ఎక్స్ఛేంజ్ నెట్వర్క్పై స్థిరమైన పట్టుదలతో ముప్పు నటుడికి ఒక మార్గాన్ని అందిస్తుంది. హానికరమైన పేలోడ్ను కలిగి ఉన్న GTP-C ఎకో అభ్యర్థన సందేశాలను ప్రసారం చేయడం ద్వారా ఈ కమ్యూనికేషన్ సాధించబడుతుంది. GTP-C ఎకో అభ్యర్థన సందేశం సోకిన మెషీన్లో అమలు చేయడానికి ఆదేశాలను పంపడానికి మరియు ఫలితాలను రిమోట్ హోస్ట్కు తిరిగి ప్రసారం చేయడానికి ఒక మార్గంగా పనిచేస్తుంది.
GTPDOORను బాహ్య నెట్వర్క్ నుండి తెలివిగా పరిశీలించవచ్చు, TCP ప్యాకెట్ను ఏదైనా పోర్ట్ నంబర్కి పంపడం ద్వారా ప్రతిస్పందనను ప్రేరేపిస్తుంది. ఇంప్లాంట్ సక్రియంగా ఉంటే, డెస్టినేషన్ పోర్ట్ తెరవబడి ఉందా లేదా హోస్ట్లో ప్రతిస్పందిస్తుందా అనే సమాచారంతో పాటు రూపొందించిన ఖాళీ TCP ప్యాకెట్ను అందిస్తుంది.
ఈ ఇంప్లాంట్ GRX నెట్వర్క్కు నేరుగా కనెక్ట్ చేయబడిన రాజీపడిన హోస్ట్లలో నివసించడానికి అనుగుణంగా కనిపిస్తుంది - ఇవి GRX ద్వారా ఇతర టెలికమ్యూనికేషన్ ఆపరేటర్ నెట్వర్క్లతో కమ్యూనికేట్ చేసే సిస్టమ్లు.
GTPDOOR మాల్వేర్ సక్రియం అయిన తర్వాత అనేక బెదిరింపు చర్యలను చేస్తుంది
GTPDOOR నిర్దిష్ట వేక్అప్ ప్యాకెట్ను వినడంతోపాటు, GTP-C ఎకో అభ్యర్థన సందేశం (GTP రకం 0x01)గా గుర్తించబడిన వివిధ హానికరమైన కార్యకలాపాలలో పాల్గొంటుంది. విశేషమేమిటంటే, హోస్ట్కి యాక్టివ్ లిజనింగ్ సాకెట్లు లేదా సేవలు అవసరం లేదు, ఎందుకంటే అన్ని UDP ప్యాకెట్లు ముడి సాకెట్ తెరవడం ద్వారా వినియోగదారు స్థలంలోకి అందుతాయి. అదనంగా, GTPDOOR మ్యాజిక్ ప్యాకెట్లో పేర్కొన్న హోస్ట్పై కమాండ్ను అమలు చేయడానికి రూపొందించబడింది, అవుట్పుట్ను రిమోట్ హోస్ట్కు తిరిగి ఇస్తుంది మరియు 'రివర్స్ షెల్' రకం కార్యాచరణకు మద్దతు ఇస్తుంది. అభ్యర్థనలు మరియు ప్రతిస్పందనలు రెండూ వరుసగా GTP_ECHO_REQUEST మరియు GTP_ECHO_RESPONSE సందేశాలుగా ప్రసారం చేయబడతాయి.
ఇంప్లాంట్ను బాహ్య నెట్వర్క్ నుండి తెలివిగా పరిశీలించవచ్చు, ఏదైనా పోర్ట్ నంబర్కి TCP ప్యాకెట్ను పంపడం ద్వారా ప్రతిస్పందనను ప్రాంప్ట్ చేస్తుంది. ఇంప్లాంట్ సక్రియంగా ఉంటే, అది రూపొందించిన ఖాళీ TCP ప్యాకెట్ను అందిస్తుంది, డెస్టినేషన్ పోర్ట్ తెరవబడి ఉందా లేదా హోస్ట్లో ప్రతిస్పందిస్తుందా అనే సమాచారాన్ని అందిస్తుంది.
భద్రతా చర్యల కోసం, GTPDOOR సాధారణ XOR సాంకేతికలిపిని ఉపయోగించి మ్యాజిక్ GTP ప్యాకెట్ సందేశాల కంటెంట్లను ప్రమాణీకరిస్తుంది మరియు గుప్తీకరిస్తుంది. రన్టైమ్లో, బైనరీలో హార్డ్కోడ్ చేసిన డిఫాల్ట్ కీని ఇతర ముప్పు నటులు ఉపయోగించకుండా నిరోధించడం ద్వారా రీకీయింగ్ ద్వారా దాని ప్రమాణీకరణ మరియు ఎన్క్రిప్షన్ కీని మార్చమని సూచించబడవచ్చు. పర్యావరణంలో కలపడానికి, GTPDOOR దాని ప్రాసెస్ పేరును కెర్నల్ థ్రెడ్గా ప్రారంభించిన syslog ప్రక్రియను పోలి ఉండేలా మారుస్తుంది. ముఖ్యముగా, GTP-C పోర్ట్ ద్వారా కమ్యూనికేట్ చేయడానికి టార్గెట్ హోస్ట్ అనుమతించబడితే, ఇన్గ్రెస్ ఫైర్వాల్ మార్పులు అవసరం లేకుండానే ఇది పనిచేస్తుంది.