Шкідливе програмне забезпечення GTPDOOR

Аналітики безпеки ідентифікували зловмисне програмне забезпечення Linux під назвою GTPDOOR, яке спеціально розроблено для розгортання в телекомунікаційних мережах поблизу роумінгових станцій GPRS (GRX). Інноваційне використання протоколу GPRS Tunneling Protocol (GTP) для командно-контрольних (C2) зв’язків виділяє це зловмисне програмне забезпечення. GPRS-роумінг дозволяє абонентам отримувати доступ до послуг GPRS, коли вони знаходяться поза зоною покриття своєї домашньої мобільної мережі. Це стало можливим завдяки GRX, який полегшує транспортування трафіку в роумінгу за допомогою GTP між відвідуваною та домашньою наземною мережею мобільного зв’язку (PLMN).

Експерти підозрюють, що бекдор GTPDOOR потенційно пов’язаний із визнаною загрозою LightBasin (також відомою як UNC1945). Цю конкретну кіберзлочинну групу пов’язують із низкою атак, спрямованих на телекомунікаційний сектор, з метою викрадення інформації про абонентів і метаданих дзвінків.

Зловмисне програмне забезпечення GTPDOOR забезпечує незаконний доступ до кіберзлочинців

Після виконання GTPDOOR починає свої операції, змінюючи ім’я свого процесу на «[syslog]», маскуючись під системний журнал, що викликається з ядра. Він вживає заходів для придушення дочірніх сигналів і відкриває необроблений сокет, що дозволяє імплантату перехоплювати повідомлення UDP, спрямовані на мережеві інтерфейси.

По суті, GTPDOOR надає шлях для загрозливого суб’єкта зі встановленою постійністю в мережі обміну роумінгом для зв’язку зі скомпрометованим хостом. Цей зв’язок досягається шляхом передачі повідомлень GTP-C Echo Request, що містять шкідливе корисне навантаження. Повідомлення GTP-C Echo Request служить каналом для надсилання команд для виконання на зараженій машині та передачі результатів назад на віддалений хост.

GTPDOOR може бути непомітно перевірений із зовнішньої мережі, викликаючи відповідь, надсилаючи TCP-пакет на будь-який номер порту. Якщо імплантат активний, він повертає створений порожній TCP-пакет разом із інформацією про те, чи був порт призначення відкритим або відповідальним на хості.

Схоже, цей імплантат призначений для розміщення на скомпрометованих хостах, безпосередньо підключених до мережі GRX – це системи, які спілкуються з мережами інших телекомунікаційних операторів через GRX.

Після активації зловмисне програмне забезпечення GTPDOOR виконує кілька загрозливих дій

GTPDOOR бере участь у різних зловмисних діях, включаючи прослуховування певного пакета пробудження, ідентифікованого як повідомлення ехо-запиту GTP-C (тип GTP 0x01). Примітно, що хосту не потрібні сокети чи служби активного прослуховування, оскільки всі UDP-пакети надходять у простір користувача через відкриття необробленого сокета. Крім того, GTPDOOR призначений для виконання команди на хості, зазначеному в магічному пакеті, повертаючи вихідні дані на віддалений хост і підтримуючи функціональність типу «зворотної оболонки». І запити, і відповіді передаються як повідомлення GTP_ECHO_REQUEST і GTP_ECHO_RESPONSE відповідно.

Імплантат можна непомітно перевірити із зовнішньої мережі, викликаючи відповідь, надсилаючи TCP-пакет на будь-який номер порту. Якщо імплантат активний, він повертає створений порожній TCP-пакет, надаючи інформацію про те, чи був порт призначення відкритим або відповідальним на хості.

З міркувань безпеки GTPDOOR аутентифікує та шифрує вміст чарівних повідомлень GTP-пакетів за допомогою простого шифру XOR. Під час виконання йому можна наказати змінити свій ключ автентифікації та шифрування шляхом повторного введення ключа, запобігаючи використанню жорстко закодованого у двійковому файлі ключа за замовчуванням іншими суб’єктами загрози. Щоб інтегруватися в середовище, GTPDOOR змінює назву свого процесу, щоб вона нагадувала процес системного журналу, що викликається як потік ядра. Важливо те, що він працює без необхідності змінювати вхідний брандмауер, якщо цільовому хосту дозволено спілкуватися через порт GTP-C.