GTPDOOR-Malware zielt auf Linux-Systeme ab

Cyber-Ermittler haben eine neu identifizierte Linux-Malware namens GTPDOOR entdeckt, die speziell für den Einsatz in der Nähe von GPRS-Roaming-Vermittlungsstellen (GRX) in Telekommunikationsnetzwerken entwickelt wurde. Diese Malware zeichnet sich insbesondere dadurch aus, dass sie das GPRS Tunneling Protocol (GTP) für ihre Command-and-Control-Kommunikation (C2) nutzt.

GPRS-Roaming erleichtert Abonnenten den Zugriff auf GPRS-Dienste außerhalb ihres Heimat-Mobilfunknetzabdeckungsbereichs. Dies wird durch einen GRX erreicht, der Roaming-Verkehr über GTP zwischen dem besuchten und dem Heimat-Öffentlichen Landmobilfunknetz (PLMN) transportiert.

Der Sicherheitsforscher haxrob, der zwei aus China und Italien auf VirusTotal hochgeladene GTPDOOR-Artefakte entdeckt hat, schlägt eine wahrscheinliche Verbindung zwischen der Hintertür und einem bekannten Bedrohungsakteur namens LightBasin (auch bekannt als UNC1945) vor. CrowdStrike deckte diesen Akteur im Oktober 2021 auf, weil er Angriffe auf den Telekommunikationssektor organisierte, um Teilnehmerinformationen und Anrufmetadaten zu stehlen.

GTPDOOR in Aktion

Bei der Ausführung initiiert GTPDOOR eine Änderung des Prozessnamens und tarnt sich als vom Kernel aufgerufenes „[syslog]“. Anschließend werden untergeordnete Signale unterdrückt und ein Raw-Socket eingerichtet, sodass das Implantat UDP-Nachrichten empfangen kann, die sich auf die Netzwerkschnittstellen auswirken.

Im Wesentlichen ermöglicht GTPDOOR einem Bedrohungsakteur mit etablierter Persistenz im Roaming-Austauschnetzwerk, mit einem kompromittierten Host zu kommunizieren, indem er GTP-C-Echo-Request-Nachrichten sendet, die eine bösartige Nutzlast enthalten. Diese spezielle GTP-C-Echo-Request-Nachricht fungiert als Kanal zur Übermittlung von Befehlen zur Ausführung auf dem infizierten Computer und sendet die Ergebnisse zurück an den Remote-Host.

Der Forscher betont, dass GTPDOOR diskret von einem externen Netzwerk aus untersucht werden kann und durch Senden eines TCP-Pakets an eine beliebige Portnummer eine Antwort hervorruft. Wenn das Implantat aktiv ist, wird ein manipuliertes leeres TCP-Paket zurückgegeben, zusammen mit Informationen darüber, ob der Zielport offen war oder auf dem Host reagierte.