GTPDOOR Malware retter seg mot Linux-systemer

Cyberetterforskere har oppdaget en nylig identifisert Linux-malware kalt GTPDOOR, spesielt utviklet for distribusjon i nærheten av GPRS-roaming-sentraler (GRX) i telekommunikasjonsnettverk. Spesielt utmerker denne malware seg ved å bruke GPRS Tunneling Protocol (GTP) for sin kommando-og-kontroll (C2) kommunikasjon.

GPRS-roaming gjør det lettere for abonnenter å få tilgang til GPRS-tjenester utenfor deres hjemmemobilnettverks dekningsområde, oppnådd gjennom en GRX som transporterer roamingtrafikk via GTP mellom det besøkte og hjemmenettverket for offentlig landmobilnett (PLMN).

Sikkerhetsforsker haxrob, som avdekket to GTPDOOR-artefakter lastet opp til VirusTotal fra Kina og Italia, antyder en sannsynlig forbindelse mellom bakdøren og en kjent trusselaktør ved navn LightBasin (aka UNC1945). CrowdStrike avslørte denne skuespilleren i oktober 2021 for å ha orkestrert angrep på telekomsektoren for å stjele abonnentinformasjon og samtalemetadata.

GTPDOOR i aksjon

Ved kjøring initierer GTPDOOR en prosessnavnendring, og forkledd seg som '[syslog]' påkalt fra kjernen. Den undertrykker deretter barnesignaler og etablerer en rå socket, slik at implantatet kan motta UDP-meldinger som påvirker nettverksgrensesnittene.

I hovedsak lar GTPDOOR en trusselaktør med etablert utholdenhet på roaming-utvekslingsnettverket kommunisere med en kompromittert vert ved å sende GTP-C Echo Request-meldinger som inneholder en ondsinnet nyttelast. Denne spesialiserte GTP-C Echo Request-meldingen fungerer som en kanal for å formidle kommandoer for kjøring på den infiserte maskinen, og overfører resultatene tilbake til den eksterne verten.

Forskeren fremhever at GTPDOOR diskret kan undersøkes fra et eksternt nettverk, og fremkalle et svar ved å sende en TCP-pakke til et hvilket som helst portnummer. Hvis implantatet er aktivt, returneres en laget tom TCP-pakke, sammen med informasjon om destinasjonsporten var åpen eller svarte på verten.