GTPDOOR Malware

Natukoy ng mga security analyst ang isang Linux malware na pinangalanang GTPDOOR, na tahasang ginawa para sa pag-deploy sa loob ng mga network ng telecom malapit sa GPRS roaming exchanges (GRX). Ang makabagong paggamit nito ng GPRS Tunneling Protocol (GTP) para sa Command-and-Control (C2) na mga komunikasyon ay nagtatakda sa malware na ito. Ang GPRS roaming ay nagbibigay-daan sa mga subscriber na ma-access ang kanilang mga serbisyo ng GPRS kapag nasa labas ng saklaw ng kanilang home mobile network. Ito ay ginawang posible sa pamamagitan ng isang GRX, na nagpapadali sa transportasyon ng roaming traffic gamit ang GTP sa pagitan ng binisita at tahanan na Public Land Mobile Network (PLMN).

Pinaghihinalaan ng mga eksperto na ang backdoor ng GTPDOOR ay potensyal na konektado sa isang kinikilalang aktor ng pagbabanta, si LightBasin (kilala rin bilang UNC1945). Ang partikular na grupong cybercriminal na ito ay na-link sa isang hanay ng mga pag-atake na naglalayong sa sektor ng telekomunikasyon, na may layunin ng pagnanakaw ng impormasyon ng subscriber at metadata ng tawag.

Ang GTPDOOR Malware ay Nagbibigay ng Ilegal na Pag-access sa Mga Cybercriminal

Kapag naisakatuparan, sinisimulan ng GTPDOOR ang mga operasyon nito sa pamamagitan ng pagpapalit ng pangalan ng proseso nito sa '[syslog],' na nagpapanggap bilang isang syslog na na-invoke mula sa kernel. Nangangailangan ito ng mga hakbang upang sugpuin ang mga senyales ng bata at nagpapatuloy sa pagbubukas ng isang raw socket, na nagbibigay-daan sa implant na harangin ang mga mensahe ng UDP na nakadirekta sa mga interface ng network.

Sa esensya, ang GTPDOOR ay nagbibigay ng paraan para sa isang banta na aktor na may matatag na pagtitiyaga sa roaming exchange network upang makipag-ugnayan sa isang nakompromisong host. Nakakamit ang komunikasyong ito sa pamamagitan ng pagpapadala ng mga mensahe ng GTP-C Echo Request na naglalaman ng nakakapinsalang payload. Ang mensahe ng GTP-C Echo Request ay nagsisilbing conduit para magpadala ng mga command na ipapatupad sa infected na makina at i-relay ang mga resulta pabalik sa remote host.

Maaaring maingat na suriin ang GTPDOOR mula sa isang panlabas na network, na magti-trigger ng tugon sa pamamagitan ng pagpapadala ng TCP packet sa anumang port number. Kung aktibo ang implant, nagbabalik ito ng ginawang walang laman na TCP packet, kasama ang impormasyon tungkol sa kung ang destination port ay bukas o tumutugon sa host.

Ang implant na ito ay lumilitaw na iniakma upang manirahan sa mga nakompromisong host na direktang konektado sa GRX network - ito ay mga system na nakikipag-ugnayan sa ibang mga network ng telecommunication operator sa pamamagitan ng GRX.

Ang GTPDOOR Malware ay Gumaganap ng Ilang Pagbabantang Pagkilos Kapag Na-activate na

Ang GTPDOOR ay nagsasagawa ng iba't ibang malisyosong aktibidad, kabilang ang pakikinig para sa isang partikular na wakeup packet, na kinilala bilang isang mensahe ng kahilingan ng echo ng GTP-C (uri ng GTP 0x01). Kapansin-pansin, ang host ay hindi nangangailangan ng mga aktibong socket o serbisyo sa pakikinig, dahil ang lahat ng UDP packet ay natatanggap sa espasyo ng gumagamit sa pamamagitan ng pagbubukas ng isang raw socket. Bukod pa rito, ang GTPDOOR ay idinisenyo upang magsagawa ng utos sa host na tinukoy sa magic packet, ibabalik ang output sa remote host at suportahan ang isang 'reverse shell' type functionality. Ang parehong mga kahilingan at tugon ay ipinapadala bilang GTP_ECHO_REQUEST at GTP_ECHO_RESPONSE na mga mensahe, ayon sa pagkakabanggit.

Ang implant ay maaaring maingat na suriin mula sa isang panlabas na network, na mag-udyok ng isang tugon sa pamamagitan ng pagpapadala ng isang TCP packet sa anumang numero ng port. Kung aktibo ang implant, ibinabalik nito ang isang ginawang walang laman na TCP packet, na nagbibigay ng impormasyon kung ang destination port ay bukas o tumutugon sa host.

Para sa mga hakbang sa seguridad, pinapatotohanan at ine-encrypt ng GTPDOOR ang mga nilalaman ng magic GTP packet messages gamit ang isang simpleng XOR cipher. Sa runtime, maaari itong turuan na baguhin ang authentication at encryption key nito sa pamamagitan ng rekeying, na pumipigil sa default na key na naka-hardcode sa binary mula sa paggamit ng iba pang mga banta. Upang makihalubilo sa kapaligiran, binago ng GTPDOOR ang pangalan ng proseso nito upang maging katulad ng isang proseso ng syslog na ginamit bilang isang kernel thread. Ang mahalaga, ito ay gumagana nang hindi nangangailangan ng mga pagbabago sa ingress firewall kung ang target na host ay pinahihintulutan na makipag-ugnayan sa GTP-C port.