Phần mềm độc hại GTPDOOR

Các nhà phân tích bảo mật đã xác định được một phần mềm độc hại Linux có tên GTPDOOR, được thiết kế rõ ràng để triển khai trong các mạng viễn thông gần với các sàn giao dịch chuyển vùng GPRS (GRX). Việc sử dụng một cách sáng tạo Giao thức đường hầm GPRS (GTP) cho liên lạc Lệnh và Kiểm soát (C2) đã khiến phần mềm độc hại này trở nên khác biệt. Chuyển vùng GPRS cho phép thuê bao truy cập các dịch vụ GPRS của họ khi ở ngoài vùng phủ sóng của mạng di động gia đình. Điều này được thực hiện thông qua GRX, tạo điều kiện thuận lợi cho việc vận chuyển lưu lượng chuyển vùng bằng GTP giữa Mạng di động công cộng mặt đất khách và nhà (PLMN).

Các chuyên gia nghi ngờ rằng cửa sau GTPDOOR có khả năng được kết nối với tác nhân đe dọa đã được xác định là LightBasin (còn được gọi là UNC1945). Nhóm tội phạm mạng cụ thể này có liên quan đến một loạt các cuộc tấn công nhằm vào lĩnh vực viễn thông, với mục tiêu đánh cắp thông tin thuê bao và siêu dữ liệu cuộc gọi.

Phần mềm độc hại GTPDOOR cung cấp quyền truy cập bất hợp pháp cho tội phạm mạng

Sau khi thực thi, GTPDOOR bắt đầu các hoạt động của mình bằng cách thay đổi tên quy trình của nó thành '[syslog]', giả dạng một nhật ký hệ thống được gọi từ kernel. Nó thực hiện các biện pháp để ngăn chặn các tín hiệu con và tiến hành mở một ổ cắm thô, cho phép bộ cấy chặn các tin nhắn UDP hướng đến các giao diện mạng.

Về bản chất, GTPDOOR cung cấp một con đường cho kẻ đe dọa có tính kiên trì lâu dài trên mạng trao đổi chuyển vùng để liên lạc với máy chủ bị xâm nhập. Giao tiếp này đạt được bằng cách truyền các tin nhắn Yêu cầu tiếng vang GTP-C có chứa tải trọng có hại. Thông báo Yêu cầu tiếng vang GTP-C đóng vai trò như một ống dẫn để gửi các lệnh được thực thi trên máy bị nhiễm và chuyển kết quả trở lại máy chủ từ xa.

GTPDOOR có thể được thăm dò một cách kín đáo từ mạng bên ngoài, kích hoạt phản hồi bằng cách gửi gói TCP tới bất kỳ số cổng nào. Nếu bộ cấy đang hoạt động, nó sẽ trả về một gói TCP trống được tạo thủ công, cùng với thông tin về việc cổng đích đã mở hay phản hồi trên máy chủ.

Bộ cấy này dường như được thiết kế để cư trú trên các máy chủ bị xâm nhập được kết nối trực tiếp với mạng GRX – đây là những hệ thống giao tiếp với các mạng khai thác viễn thông khác thông qua GRX.

Phần mềm độc hại GTPDOOR thực hiện một số hành động đe dọa sau khi được kích hoạt

GTPDOOR tham gia vào nhiều hoạt động độc hại khác nhau, bao gồm nghe gói đánh thức cụ thể, được xác định là thông báo yêu cầu tiếng vang GTP-C (loại GTP 0x01). Đáng chú ý, máy chủ không yêu cầu các dịch vụ hoặc ổ cắm nghe tích cực, vì tất cả các gói UDP đều được nhận vào không gian người dùng thông qua việc mở ổ cắm thô. Ngoài ra, GTPDOOR được thiết kế để thực thi lệnh trên máy chủ được chỉ định trong gói ma thuật, trả lại đầu ra cho máy chủ từ xa và hỗ trợ chức năng loại 'vỏ đảo ngược'. Cả yêu cầu và phản hồi đều được truyền tương ứng dưới dạng tin nhắn GTP_ECHO_REQUEST và GTP_ECHO_RESPONSE.

Bộ cấy có thể được thăm dò một cách kín đáo từ mạng bên ngoài, nhắc nhở phản hồi bằng cách gửi gói TCP đến bất kỳ số cổng nào. Nếu bộ cấy đang hoạt động, nó sẽ trả về một gói TCP trống được tạo thủ công, cung cấp thông tin về việc cổng đích có mở hay phản hồi trên máy chủ hay không.

Đối với các biện pháp bảo mật, GTPDOOR xác thực và mã hóa nội dung của các tin nhắn gói GTP ma thuật bằng mật mã XOR đơn giản. Trong thời gian chạy, nó có thể được hướng dẫn thay đổi khóa xác thực và mã hóa thông qua việc tạo lại khóa, ngăn không cho các tác nhân đe dọa khác sử dụng khóa mặc định được mã hóa cứng trong tệp nhị phân. Để hòa nhập vào môi trường, GTPDOOR thay đổi tên quy trình của nó để giống với quy trình nhật ký hệ thống được gọi dưới dạng luồng nhân. Điều quan trọng là nó hoạt động mà không yêu cầu thay đổi tường lửa xâm nhập nếu máy chủ đích được phép giao tiếp qua cổng GTP-C.