Το κακόβουλο λογισμικό GTPDOOR στοχεύει συστήματα Linux
Οι ερευνητές στον κυβερνοχώρο εντόπισαν ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό Linux με το όνομα GTPDOOR, ειδικά σχεδιασμένο για ανάπτυξη κοντά σε κέντρα περιαγωγής GPRS (GRX) εντός δικτύων τηλεπικοινωνιών. Αξίζει να σημειωθεί ότι αυτό το κακόβουλο λογισμικό διακρίνεται χρησιμοποιώντας το GPRS Tunneling Protocol (GTP) για τις επικοινωνίες εντολών και ελέγχου (C2).
Η περιαγωγή GPRS διευκολύνει τους συνδρομητές να έχουν πρόσβαση σε υπηρεσίες GPRS εκτός της περιοχής κάλυψης του οικιακού τους δικτύου κινητής τηλεφωνίας, που επιτυγχάνεται μέσω ενός GRX που μεταφέρει κίνηση περιαγωγής μέσω GTP μεταξύ του επισκεπτόμενου και του οικιακού Δημόσιου Δικτύου Κινητής Γης (PLMN).
Ο ερευνητής ασφαλείας haxrob, ο οποίος ανακάλυψε δύο αντικείμενα GTPDOOR που ανέβηκαν στο VirusTotal από την Κίνα και την Ιταλία, προτείνει μια πιθανή σύνδεση μεταξύ της κερκόπορτας και ενός γνωστού παράγοντα απειλής που ονομάζεται LightBasin (γνωστός και ως UNC1945). Η CrowdStrike αποκάλυψε αυτόν τον ηθοποιό τον Οκτώβριο του 2021 για ενορχήστρωση επιθέσεων στον τομέα των τηλεπικοινωνιών για κλοπή πληροφοριών συνδρομητών και μεταδεδομένων κλήσεων.
GTPDOOR σε δράση
Κατά την εκτέλεση, το GTPDOOR ξεκινά μια τροποποίηση ονόματος διεργασίας, μεταμφιέζοντας τον εαυτό του ως '[syslog]' που επικαλείται από τον πυρήνα. Στη συνέχεια, καταστέλλει τα θυγατρικά σήματα και δημιουργεί μια ακατέργαστη υποδοχή, επιτρέποντας στο εμφύτευμα να λαμβάνει μηνύματα UDP που επηρεάζουν τις διεπαφές δικτύου.
Ουσιαστικά, το GTPDOOR επιτρέπει σε έναν παράγοντα απειλής με καθιερωμένη εμμονή στο δίκτυο ανταλλαγής περιαγωγής να επικοινωνεί με έναν παραβιασμένο κεντρικό υπολογιστή στέλνοντας μηνύματα GTP-C Echo Request που περιέχουν ένα κακόβουλο ωφέλιμο φορτίο. Αυτό το εξειδικευμένο μήνυμα GTP-C Echo Request λειτουργεί ως αγωγός για τη μεταφορά εντολών για εκτέλεση στο μολυσμένο μηχάνημα, μεταδίδοντας τα αποτελέσματα πίσω στον απομακρυσμένο κεντρικό υπολογιστή.
Ο ερευνητής υπογραμμίζει ότι το GTPDOOR μπορεί να διερευνηθεί διακριτικά από ένα εξωτερικό δίκτυο, προκαλώντας μια απάντηση στέλνοντας ένα πακέτο TCP σε οποιονδήποτε αριθμό θύρας. Εάν το εμφύτευμα είναι ενεργό, επιστρέφεται ένα δημιουργημένο κενό πακέτο TCP, μαζί με πληροφορίες σχετικά με το εάν η θύρα προορισμού ήταν ανοιχτή ή ανταποκρινόταν στον κεντρικό υπολογιστή.
