มัลแวร์ GTPDOOR

นักวิเคราะห์ความปลอดภัยระบุมัลแวร์ Linux ชื่อ GTPDOOR ซึ่งได้รับการออกแบบมาอย่างชัดเจนสำหรับการใช้งานภายในเครือข่ายโทรคมนาคมใกล้กับ GPRS roaming exchanges (GRX) การใช้นวัตกรรมใหม่ของ GPRS Tunneling Protocol (GTP) สำหรับการสื่อสาร Command-and-Control (C2) ทำให้มัลแวร์นี้แตกต่างออกไป การโรมมิ่ง GPRS ช่วยให้สมาชิกสามารถเข้าถึงบริการ GPRS ของตนได้เมื่ออยู่นอกพื้นที่ครอบคลุมของเครือข่ายมือถือในบ้านของตน สิ่งนี้เกิดขึ้นได้ผ่าน GRX ซึ่งอำนวยความสะดวกในการขนส่งการรับส่งข้อมูลโรมมิ่งโดยใช้ GTP ระหว่างเครือข่ายมือถือสาธารณะ (PLMN) ที่เยี่ยมชมและที่บ้าน

ผู้เชี่ยวชาญสงสัยว่าแบ็คดอร์ GTPDOOR อาจเชื่อมต่อกับตัวแสดงภัยคุกคามที่ได้รับการยอมรับอย่าง LightBasin (หรือที่รู้จักในชื่อ UNC1945) กลุ่มอาชญากรไซเบอร์กลุ่มนี้เชื่อมโยงกับการโจมตีหลายรูปแบบที่มุ่งเป้าไปที่ภาคโทรคมนาคม โดยมีวัตถุประสงค์เพื่อขโมยข้อมูลสมาชิกและข้อมูลเมตาการโทร

มัลแวร์ GTPDOOR ให้การเข้าถึงที่ผิดกฎหมายแก่อาชญากรไซเบอร์

เมื่อดำเนินการ GTPDOOR จะเริ่มต้นการดำเนินการโดยเปลี่ยนชื่อกระบวนการเป็น '[syslog]' โดยปลอมตัวเป็น syslog ที่เรียกใช้จากเคอร์เนล ใช้มาตรการในการระงับสัญญาณเด็กและดำเนินการเปิดซ็อกเก็ตดิบ ซึ่งช่วยให้อุปกรณ์เทียมสามารถสกัดกั้นข้อความ UDP ที่ส่งตรงไปยังอินเทอร์เฟซเครือข่าย

โดยพื้นฐานแล้ว GTPDOOR มอบช่องทางให้กับผู้ก่อภัยคุกคามที่มีความคงอยู่บนเครือข่ายการแลกเปลี่ยนข้ามแดนเพื่อสื่อสารกับโฮสต์ที่ถูกบุกรุก การสื่อสารนี้ทำได้โดยการส่งข้อความคำขอ GTP-C Echo Request ที่มีเพย์โหลดที่เป็นอันตราย ข้อความคำขอ GTP-C Echo ทำหน้าที่เป็นช่องทางในการส่งคำสั่งเพื่อดำเนินการบนเครื่องที่ติดไวรัสและถ่ายทอดผลลัพธ์กลับไปยังโฮสต์ระยะไกล

สามารถตรวจสอบ GTPDOOR อย่างรอบคอบจากเครือข่ายภายนอก โดยกระตุ้นการตอบสนองโดยการส่งแพ็กเก็ต TCP ไปยังหมายเลขพอร์ตใดๆ หากอุปกรณ์ฝังทำงานอยู่ ระบบจะส่งคืนแพ็กเก็ต TCP เปล่าที่ประดิษฐ์ขึ้น พร้อมด้วยข้อมูลเกี่ยวกับพอร์ตปลายทางเปิดอยู่หรือตอบสนองบนโฮสต์

อุปกรณ์ฝังนี้ดูเหมือนว่าจะได้รับการปรับแต่งให้อยู่บนโฮสต์ที่ถูกบุกรุกซึ่งเชื่อมต่อโดยตรงกับเครือข่าย GRX ซึ่งเป็นระบบที่สื่อสารกับเครือข่ายผู้ให้บริการโทรคมนาคมรายอื่นผ่าน GRX

มัลแวร์ GTPDOOR ดำเนินการคุกคามหลายครั้งเมื่อเปิดใช้งาน

GTPDOOR มีส่วนร่วมในกิจกรรมที่เป็นอันตรายต่างๆ รวมถึงการฟังแพ็กเก็ตการปลุกเฉพาะ ซึ่งระบุเป็นข้อความคำขอเสียงก้อง GTP-C (GTP ประเภท 0x01) เป็นที่น่าสังเกตว่าโฮสต์ไม่จำเป็นต้องใช้ซ็อกเก็ตหรือบริการการฟังที่ใช้งานอยู่ เนื่องจากแพ็กเก็ต UDP ทั้งหมดจะถูกรับลงในพื้นที่ผู้ใช้ผ่านการเปิดซ็อกเก็ตดิบ นอกจากนี้ GTPDOOR ยังได้รับการออกแบบให้ดำเนินการคำสั่งบนโฮสต์ที่ระบุในแพ็กเก็ตมายากล โดยส่งคืนเอาต์พุตไปยังโฮสต์ระยะไกล และสนับสนุนฟังก์ชันการทำงานประเภท 'reverse shell' ทั้งคำขอและการตอบกลับจะถูกส่งเป็นข้อความ GTP_ECHO_REQUEST และ GTP_ECHO_RESPONSE ตามลำดับ

สามารถตรวจสอบรากฟันเทียมได้อย่างรอบคอบจากเครือข่ายภายนอก พร้อมแจ้งการตอบสนองโดยการส่งแพ็กเก็ต TCP ไปยังหมายเลขพอร์ตใดๆ หากอุปกรณ์ฝังทำงานอยู่ มันจะส่งคืนแพ็กเก็ต TCP เปล่าที่สร้างขึ้นมา โดยให้ข้อมูลว่าพอร์ตปลายทางเปิดอยู่หรือตอบสนองบนโฮสต์

สำหรับมาตรการรักษาความปลอดภัย GTPDOOR จะตรวจสอบสิทธิ์และเข้ารหัสเนื้อหาของข้อความแพ็กเก็ต GTP วิเศษโดยใช้รหัส XOR แบบธรรมดา ในขณะรันไทม์ สามารถสั่งให้เปลี่ยนคีย์การรับรองความถูกต้องและการเข้ารหัสผ่านการรีคีย์ เพื่อป้องกันไม่ให้ผู้คุกคามรายอื่นใช้คีย์เริ่มต้นที่ฮาร์ดโค้ดในไบนารี่ เพื่อให้กลมกลืนกับสภาพแวดล้อม GTPDOOR จะเปลี่ยนชื่อกระบวนการให้คล้ายกับกระบวนการ syslog ที่เรียกใช้เป็นเธรดเคอร์เนล ที่สำคัญคือทำงานโดยไม่ต้องเปลี่ยนไฟร์วอลล์ขาเข้าหากโฮสต์เป้าหมายได้รับอนุญาตให้สื่อสารผ่านพอร์ต GTP-C