GTPDOOR మాల్వేర్

భద్రతా విశ్లేషకులు GTPDOOR అనే Linux మాల్వేర్‌ను గుర్తించారు, ఇది GPRS రోమింగ్ ఎక్స్ఛేంజీలకు (GRX) సమీపంలో ఉన్న టెలికాం నెట్‌వర్క్‌లలో విస్తరణ కోసం ప్రత్యేకంగా రూపొందించబడింది. కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్ల కోసం GPRS టన్నెలింగ్ ప్రోటోకాల్ (GTP) యొక్క వినూత్న వినియోగం ఈ మాల్వేర్‌ను వేరు చేస్తుంది. GPRS రోమింగ్ చందాదారులు వారి ఇంటి మొబైల్ నెట్‌వర్క్ కవరేజీకి వెలుపల ఉన్నప్పుడు వారి GPRS సేవలను యాక్సెస్ చేయడానికి వీలు కల్పిస్తుంది. ఇది GRX ద్వారా సాధ్యమవుతుంది, ఇది సందర్శించిన మరియు ఇంటి పబ్లిక్ ల్యాండ్ మొబైల్ నెట్‌వర్క్ (PLMN) మధ్య GTPని ఉపయోగించి రోమింగ్ ట్రాఫిక్‌ను రవాణా చేయడానికి వీలు కల్పిస్తుంది.

GTPDOOR బ్యాక్‌డోర్ గుర్తించబడిన ముప్పు నటుడైన లైట్‌బాసిన్ (దీనిని UNC1945 అని కూడా పిలుస్తారు)కి అనుసంధానించబడిందని నిపుణులు అనుమానిస్తున్నారు. చందాదారుల సమాచారం మరియు కాల్ మెటాడేటాను దొంగిలించే లక్ష్యంతో టెలికమ్యూనికేషన్స్ సెక్టార్‌ను లక్ష్యంగా చేసుకుని ఈ నిర్దిష్ట సైబర్‌క్రిమినల్ గ్రూప్ దాడుల స్ట్రింగ్‌కు లింక్ చేయబడింది.

GTPDOOR మాల్వేర్ సైబర్ నేరస్థులకు చట్టవిరుద్ధమైన యాక్సెస్‌లను అందిస్తుంది

అమలు చేయబడిన తర్వాత, GTPDOOR దాని ప్రాసెస్ పేరును '[syslog]'గా మార్చడం ద్వారా దాని కార్యకలాపాలను ప్రారంభిస్తుంది, ఇది కెర్నల్ నుండి సిస్లాగ్‌గా మార్చబడుతుంది. ఇది చైల్డ్ సిగ్నల్‌లను అణిచివేసేందుకు చర్యలు తీసుకుంటుంది మరియు నెట్‌వర్క్ ఇంటర్‌ఫేస్‌ల వద్ద నిర్దేశించబడిన UDP సందేశాలను అంతరాయం కలిగించడానికి ఇంప్లాంట్‌ను ప్రారంభిస్తుంది.

సారాంశంలో, GTPDOOR రాజీపడిన హోస్ట్‌తో కమ్యూనికేట్ చేయడానికి రోమింగ్ ఎక్స్ఛేంజ్ నెట్‌వర్క్‌పై స్థిరమైన పట్టుదలతో ముప్పు నటుడికి ఒక మార్గాన్ని అందిస్తుంది. హానికరమైన పేలోడ్‌ను కలిగి ఉన్న GTP-C ఎకో అభ్యర్థన సందేశాలను ప్రసారం చేయడం ద్వారా ఈ కమ్యూనికేషన్ సాధించబడుతుంది. GTP-C ఎకో అభ్యర్థన సందేశం సోకిన మెషీన్‌లో అమలు చేయడానికి ఆదేశాలను పంపడానికి మరియు ఫలితాలను రిమోట్ హోస్ట్‌కు తిరిగి ప్రసారం చేయడానికి ఒక మార్గంగా పనిచేస్తుంది.

GTPDOORను బాహ్య నెట్‌వర్క్ నుండి తెలివిగా పరిశీలించవచ్చు, TCP ప్యాకెట్‌ను ఏదైనా పోర్ట్ నంబర్‌కి పంపడం ద్వారా ప్రతిస్పందనను ప్రేరేపిస్తుంది. ఇంప్లాంట్ సక్రియంగా ఉంటే, డెస్టినేషన్ పోర్ట్ తెరవబడి ఉందా లేదా హోస్ట్‌లో ప్రతిస్పందిస్తుందా అనే సమాచారంతో పాటు రూపొందించిన ఖాళీ TCP ప్యాకెట్‌ను అందిస్తుంది.

ఈ ఇంప్లాంట్ GRX నెట్‌వర్క్‌కు నేరుగా కనెక్ట్ చేయబడిన రాజీపడిన హోస్ట్‌లలో నివసించడానికి అనుగుణంగా కనిపిస్తుంది - ఇవి GRX ద్వారా ఇతర టెలికమ్యూనికేషన్ ఆపరేటర్ నెట్‌వర్క్‌లతో కమ్యూనికేట్ చేసే సిస్టమ్‌లు.

GTPDOOR మాల్వేర్ సక్రియం అయిన తర్వాత అనేక బెదిరింపు చర్యలను చేస్తుంది

GTPDOOR నిర్దిష్ట వేక్అప్ ప్యాకెట్‌ను వినడంతోపాటు, GTP-C ఎకో అభ్యర్థన సందేశం (GTP రకం 0x01)గా గుర్తించబడిన వివిధ హానికరమైన కార్యకలాపాలలో పాల్గొంటుంది. విశేషమేమిటంటే, హోస్ట్‌కి యాక్టివ్ లిజనింగ్ సాకెట్‌లు లేదా సేవలు అవసరం లేదు, ఎందుకంటే అన్ని UDP ప్యాకెట్‌లు ముడి సాకెట్ తెరవడం ద్వారా వినియోగదారు స్థలంలోకి అందుతాయి. అదనంగా, GTPDOOR మ్యాజిక్ ప్యాకెట్‌లో పేర్కొన్న హోస్ట్‌పై కమాండ్‌ను అమలు చేయడానికి రూపొందించబడింది, అవుట్‌పుట్‌ను రిమోట్ హోస్ట్‌కు తిరిగి ఇస్తుంది మరియు 'రివర్స్ షెల్' రకం కార్యాచరణకు మద్దతు ఇస్తుంది. అభ్యర్థనలు మరియు ప్రతిస్పందనలు రెండూ వరుసగా GTP_ECHO_REQUEST మరియు GTP_ECHO_RESPONSE సందేశాలుగా ప్రసారం చేయబడతాయి.

ఇంప్లాంట్‌ను బాహ్య నెట్‌వర్క్ నుండి తెలివిగా పరిశీలించవచ్చు, ఏదైనా పోర్ట్ నంబర్‌కి TCP ప్యాకెట్‌ను పంపడం ద్వారా ప్రతిస్పందనను ప్రాంప్ట్ చేస్తుంది. ఇంప్లాంట్ సక్రియంగా ఉంటే, అది రూపొందించిన ఖాళీ TCP ప్యాకెట్‌ను అందిస్తుంది, డెస్టినేషన్ పోర్ట్ తెరవబడి ఉందా లేదా హోస్ట్‌లో ప్రతిస్పందిస్తుందా అనే సమాచారాన్ని అందిస్తుంది.

భద్రతా చర్యల కోసం, GTPDOOR సాధారణ XOR సాంకేతికలిపిని ఉపయోగించి మ్యాజిక్ GTP ప్యాకెట్ సందేశాల కంటెంట్‌లను ప్రమాణీకరిస్తుంది మరియు గుప్తీకరిస్తుంది. రన్‌టైమ్‌లో, బైనరీలో హార్డ్‌కోడ్ చేసిన డిఫాల్ట్ కీని ఇతర ముప్పు నటులు ఉపయోగించకుండా నిరోధించడం ద్వారా రీకీయింగ్ ద్వారా దాని ప్రమాణీకరణ మరియు ఎన్‌క్రిప్షన్ కీని మార్చమని సూచించబడవచ్చు. పర్యావరణంలో కలపడానికి, GTPDOOR దాని ప్రాసెస్ పేరును కెర్నల్ థ్రెడ్‌గా ప్రారంభించిన syslog ప్రక్రియను పోలి ఉండేలా మారుస్తుంది. ముఖ్యముగా, GTP-C పోర్ట్ ద్వారా కమ్యూనికేట్ చేయడానికి టార్గెట్ హోస్ట్ అనుమతించబడితే, ఇన్‌గ్రెస్ ఫైర్‌వాల్ మార్పులు అవసరం లేకుండానే ఇది పనిచేస్తుంది.