Il malware GTPDOOR prende di mira i sistemi Linux

Gli investigatori informatici hanno rilevato un malware Linux recentemente identificato denominato GTPDOOR, progettato specificamente per l'implementazione in prossimità degli scambi di roaming GPRS (GRX) all'interno delle reti di telecomunicazioni. In particolare, questo malware si distingue per l'utilizzo del protocollo GPRS Tunneling Protocol (GTP) per le comunicazioni di comando e controllo (C2).

Il roaming GPRS facilita gli abbonati nell'accesso ai servizi GPRS al di fuori dell'area di copertura della rete mobile domestica, ottenuto attraverso un GRX che trasporta il traffico in roaming tramite GTP tra la rete mobile terrestre pubblica (PLMN) visitata e domestica.

Il ricercatore di sicurezza haxrob, che ha scoperto due artefatti GTPDOOR caricati su VirusTotal dalla Cina e dall'Italia, suggerisce una probabile connessione tra la backdoor e un noto attore di minacce chiamato LightBasin (noto anche come UNC1945). CrowdStrike ha denunciato questo attore nell'ottobre 2021 per aver orchestrato attacchi al settore delle telecomunicazioni per rubare informazioni sugli abbonati e metadati delle chiamate.

GTPDOOR in azione

Al momento dell'esecuzione, GTPDOOR avvia una modifica del nome del processo, mascherandosi da "[syslog]" invocato dal kernel. Quindi sopprime i segnali secondari e stabilisce un socket grezzo, consentendo all'impianto di ricevere messaggi UDP che influiscono sulle interfacce di rete.

In sostanza, GTPDOOR consente a un attore di minacce con una persistenza stabilita sulla rete di scambio in roaming di comunicare con un host compromesso inviando messaggi GTP-C Echo Request contenenti un payload dannoso. Questo messaggio specializzato GTP-C Echo Request funziona come un canale per trasmettere i comandi da eseguire sulla macchina infetta, trasmettendo i risultati all'host remoto.

Il ricercatore sottolinea che GTPDOOR può essere sondato in modo discreto da una rete esterna, suscitando una risposta inviando un pacchetto TCP a qualsiasi numero di porta. Se l'impianto è attivo, viene restituito un pacchetto TCP vuoto, insieme alle informazioni su se la porta di destinazione era aperta o rispondeva sull'host.