A GTPDOOR kártevő Linux rendszereket céloz meg

A számítógépes nyomozók egy újonnan azonosított GTPDOOR nevű Linux-malware-t észleltek, amelyet kifejezetten a távközlési hálózatokon belüli GPRS roaming Exchange (GRX) közelében való telepítésre terveztek. Nevezetesen, ez a rosszindulatú program azzal tűnik ki, hogy a GPRS Tunneling Protocolt (GTP) használja a parancs- és vezérlő (C2) kommunikációhoz.

A GPRS roaming lehetővé teszi az előfizetők számára a GPRS szolgáltatások elérését az otthoni mobilhálózati lefedettségen kívül, ami egy GRX révén érhető el, amely a barangolási forgalmat GTP-n keresztül továbbítja a látogatott és otthoni nyilvános földi mobilhálózat (PLMN) között.

Haxrob biztonsági kutató, aki feltárt két Kínából és Olaszországból a VirusTotalra feltöltött GTPDOOR műterméket, valószínűsíthető kapcsolatot feltételez a hátsó ajtó és egy LightBasin (más néven UNC1945) nevű fenyegetés között. A CrowdStrike 2021 októberében nyilvánosságra hozta ezt a színészt, mert támadásokat szervezett a távközlési szektor ellen, hogy ellopja az előfizetői információkat és a hívások metaadatait.

A GTPDOOR akcióban

Végrehajtáskor a GTPDOOR folyamatnév-módosítást kezdeményez, a kernelből meghívott „[syslog]”-nak álcázva magát. Ezután elnyomja a gyermekjeleket, és nyers aljzatot hoz létre, lehetővé téve az implantátum számára a hálózati interfészekre ható UDP üzenetek fogadását.

Lényegében a GTPDOOR lehetővé teszi a roaming cserehálózaton állandóan állandóan fennálló fenyegetés szereplő számára, hogy rosszindulatú hasznos terhelést tartalmazó GTP-C Echo Request üzenetek küldésével kommunikáljon egy feltört gazdagéppel. Ez a speciális GTP-C Echo Request üzenet csatornaként működik a fertőzött gépen végrehajtandó parancsok továbbításához, és az eredményeket visszaküldi a távoli gazdagépnek.

A kutató kiemeli, hogy a GTPDOOR diszkréten szondázható külső hálózatról, amelyre egy TCP-csomag tetszőleges számú portra történő küldésével válthat ki választ. Ha az implantátum aktív, a rendszer egy kialakított üres TCP-csomagot küld vissza, azzal együtt, hogy a célport nyitva volt-e, vagy válaszolt-e a gazdagépen.