Вредоносное ПО GTPDOOR нацелено на системы Linux

Киберрасследователи обнаружили недавно идентифицированное вредоносное ПО для Linux под названием GTPDOOR, специально разработанное для развертывания вблизи роуминговых станций GPRS (GRX) в телекоммуникационных сетях. Примечательно, что это вредоносное ПО отличается тем, что использует туннельный протокол GPRS (GTP) для обмена данными по управлению и контролю (C2).

Роуминг GPRS облегчает абонентам доступ к услугам GPRS за пределами зоны покрытия их домашней мобильной сети, что достигается за счет GRX, передающего роуминговый трафик через GTP между посещаемой и домашней наземной мобильной сетью общего пользования (PLMN).

Исследователь безопасности Haxrob, обнаруживший два артефакта GTPDOOR, загруженные в VirusTotal из Китая и Италии, предполагает вероятную связь между бэкдором и известным злоумышленником по имени LightBasin (он же UNC1945). CrowdStrike раскрыла этого злоумышленника в октябре 2021 года за организацию атак на телекоммуникационный сектор с целью кражи информации об абонентах и метаданных вызовов.

GTPDOOR в действии

После выполнения GTPDOOR инициирует изменение имени процесса, маскируясь под «[syslog]», вызываемый из ядра. Затем он подавляет дочерние сигналы и устанавливает необработанный сокет, позволяя имплантату получать сообщения UDP, влияющие на сетевые интерфейсы.

По сути, GTPDOOR позволяет злоумышленнику с установленным постоянством в роуминговой сети обмена взаимодействовать со скомпрометированным хостом, отправляя сообщения эхо-запроса GTP-C, содержащие вредоносную полезную нагрузку. Это специализированное сообщение эхо-запроса GTP-C действует как канал передачи команд для выполнения на зараженной машине, передавая результаты обратно на удаленный хост.

Исследователь подчеркивает, что GTPDOOR можно незаметно проверить из внешней сети, получив ответ путем отправки TCP-пакета на любой номер порта. Если имплант активен, возвращается созданный пустой TCP-пакет вместе с информацией о том, был ли порт назначения открыт или отвечал на хосте.