Złośliwe oprogramowanie GTPDOOR atakuje systemy Linux

Cyberbadacze wykryli nowo zidentyfikowane szkodliwe oprogramowanie dla systemu Linux o nazwie GTPDOOR, zaprojektowane specjalnie do wdrażania w pobliżu central roamingowych GPRS (GRX) w sieciach telekomunikacyjnych. Warto zauważyć, że to szkodliwe oprogramowanie wyróżnia się wykorzystaniem protokołu tunelowania GPRS (GTP) do komunikacji typu dowodzenia i kontroli (C2).

Roaming GPRS ułatwia abonentom dostęp do usług GPRS poza zasięgiem ich domowej sieci komórkowej, realizowany poprzez GRX przenoszący ruch roamingowy za pośrednictwem GTP pomiędzy odwiedzaną a macierzystą publiczną lądową siecią komórkową (PLMN).

Haxrob, badacz bezpieczeństwa, który odkrył dwa artefakty GTPDOOR przesłane do VirusTotal z Chin i Włoch, sugeruje prawdopodobny związek między backdoorem a znanym ugrupowaniem zagrażającym o nazwie LightBasin (znanym również jako UNC1945). CrowdStrike ujawnił, że w październiku 2021 r. podmiot ten organizował ataki na sektor telekomunikacyjny w celu kradzieży informacji o abonentach i metadanych połączeń.

GTPDOOR w akcji

Po wykonaniu GTPDOOR inicjuje modyfikację nazwy procesu, udając „[syslog]” wywoływany z jądra. Następnie tłumi sygnały podrzędne i ustanawia gniazdo surowe, umożliwiając implantowi odbieranie komunikatów UDP mających wpływ na interfejsy sieciowe.

Zasadniczo GTPDOOR umożliwia ugrupowaniu zagrażającemu o ustalonej trwałości w sieci wymiany roamingowej komunikację z zaatakowanym hostem poprzez wysyłanie wiadomości GTP-C Echo Request zawierających szkodliwy ładunek. Ten wyspecjalizowany komunikat żądania echa GTP-C działa jako kanał do przekazywania poleceń do wykonania na zainfekowanej maszynie, przesyłając wyniki z powrotem do zdalnego hosta.

Badacz podkreśla, że GTPDOOR można dyskretnie sondować z sieci zewnętrznej, uzyskując odpowiedź w postaci wysłania pakietu TCP na dowolny numer portu. Jeśli implant jest aktywny, zwracany jest spreparowany pusty pakiet TCP wraz z informacją, czy port docelowy był otwarty lub odpowiadał na hoście.