GTPDOOR Kötü Amaçlı Yazılım

Güvenlik analistleri, GPRS dolaşım santrallerine (GRX) yakın telekom ağlarında dağıtılmak üzere özel olarak tasarlanmış GTPDOOR adlı bir Linux kötü amaçlı yazılımını belirlediler. Komuta ve Kontrol (C2) iletişimleri için GPRS Tünel Protokolü'nün (GTP) yenilikçi kullanımı, bu kötü amaçlı yazılımı diğerlerinden farklı kılmaktadır. GPRS dolaşımı, abonelerin kendi ev mobil ağlarının kapsama alanı dışındayken GPRS hizmetlerine erişmelerine olanak tanır. Bu, ziyaret edilen ile evdeki Kamu Kara Mobil Ağı (PLMN) arasında GTP kullanarak dolaşım trafiğinin taşınmasını kolaylaştıran bir GRX aracılığıyla mümkün olmaktadır.

Uzmanlar, GTPDOOR arka kapısının tanınmış bir tehdit aktörü olan LightBasin (UNC1945 olarak da bilinir) ile potansiyel olarak bağlantılı olduğundan şüpheleniyor. Bu özel siber suçlu grubu, abone bilgilerini ve çağrı meta verilerini çalmak amacıyla telekomünikasyon sektörünü hedef alan bir dizi saldırıyla ilişkilendirildi.

GTPDOOR Kötü Amaçlı Yazılımı Siber Suçlulara Yasadışı Erişim Sağlıyor

Yürütme üzerine GTPDOOR, çekirdekten çağrılan bir sistem günlüğü gibi davranarak işlem adını '[syslog]' olarak değiştirerek işlemlerini başlatır. Çocuk sinyallerini bastırmak için önlemler alır ve ham bir soket açarak implantın ağ arayüzlerine yönlendirilen UDP mesajlarını engellemesini sağlar.

Temelde, GTPDOOR, dolaşımdaki değişim ağında yerleşik kalıcılığa sahip bir tehdit aktörünün güvenliği ihlal edilmiş bir ana bilgisayarla iletişim kurması için bir yol sağlar. Bu iletişim, zararlı veri yükü içeren GTP-C Yankı İsteği mesajlarının iletilmesiyle sağlanır. GTP-C Yankı İsteği mesajı, virüslü makinede yürütülecek komutları göndermek ve sonuçları uzaktaki ana bilgisayara geri iletmek için bir kanal görevi görüyor.

GTPDOOR, herhangi bir bağlantı noktası numarasına bir TCP paketi göndererek bir yanıtı tetikleyerek harici bir ağdan gizlice incelenebilir. İmplant aktifse, hazırlanmış boş bir TCP paketinin yanı sıra, hedef bağlantı noktasının ana makinede açık mı yoksa duyarlı mı olduğu hakkındaki bilgileri döndürür.

Bu implant, doğrudan GRX ağına bağlı, güvenliği ihlal edilmiş ana bilgisayarlarda bulunacak şekilde tasarlanmış gibi görünüyor; bunlar, GRX aracılığıyla diğer telekomünikasyon operatörü ağlarıyla iletişim kuran sistemlerdir.

GTPDOOR Kötü Amaçlı Yazılımı Etkinleştirildikten Sonra Çeşitli Tehdit Eylemleri Gerçekleştiriyor

GTPDOOR, GTP-C yankı istek mesajı (GTP tipi 0x01) olarak tanımlanan belirli bir uyandırma paketini dinlemek de dahil olmak üzere çeşitli kötü amaçlı faaliyetlerde bulunur. Dikkat çekici bir şekilde, tüm UDP paketleri ham bir soketin açılması yoluyla kullanıcı alanına alındığından, ana bilgisayar aktif dinleme soketlerine veya hizmetlerine ihtiyaç duymaz. Ek olarak GTPDOOR, sihirli pakette belirtilen ana bilgisayarda bir komutu yürütmek, çıktıyı uzak ana bilgisayara döndürmek ve 'ters kabuk' tipi işlevselliği desteklemek üzere tasarlanmıştır. Hem istekler hem de yanıtlar sırasıyla GTP_ECHO_REQUEST ve GTP_ECHO_RESPONSE mesajları olarak iletilir.

İmplant, herhangi bir bağlantı noktası numarasına bir TCP paketi göndererek yanıt verilmesini sağlayan harici bir ağdan gizlice incelenebilir. İmplant etkinse, hazırlanmış boş bir TCP paketini döndürür ve hedef bağlantı noktasının ana bilgisayarda açık mı yoksa duyarlı mı olduğu hakkında bilgi sağlar.

Güvenlik önlemleri için GTPDOOR, basit bir XOR şifresi kullanarak sihirli GTP paket mesajlarının içeriğini doğrular ve şifreler. Çalışma zamanında, yeniden anahtarlama yoluyla kimlik doğrulama ve şifreleme anahtarını değiştirmesi talimatı verilebilir, böylece ikili dosyada sabit kodlanmış varsayılan anahtarın diğer tehdit aktörleri tarafından kullanılması engellenir. Ortama uyum sağlamak için GTPDOOR, işlem adını, çekirdek iş parçacığı olarak çağrılan bir sistem günlüğü işlemine benzeyecek şekilde değiştirir. Daha da önemlisi, hedef ana bilgisayarın GTP-C bağlantı noktası üzerinden iletişim kurmasına izin verilirse, giriş güvenlik duvarı değişikliklerine gerek kalmadan çalışır.