GTPDOOR Malware riktar sig till Linux-system

Cyberutredare har upptäckt en nyligen identifierad Linux-skadlig kod vid namn GTPDOOR, speciellt konstruerad för distribution i närheten av GPRS-roaming-växlar (GRX) inom telekomnätverk. Detta skadliga program utmärker sig särskilt genom att använda GPRS Tunneling Protocol (GTP) för sin kommando-och-kontroll-kommunikation (C2).

GPRS-roaming underlättar för abonnenter att få åtkomst till GPRS-tjänster utanför deras täckningsområde för hemmobilnätverket, vilket uppnås genom en GRX som transporterar roamingtrafik via GTP mellan det besökta och hemma Public Land Mobile Network (PLMN).

Säkerhetsforskaren haxrob, som upptäckte två GTPDOOR-artefakter uppladdade till VirusTotal från Kina och Italien, föreslår en trolig koppling mellan bakdörren och en känd hotaktör vid namn LightBasin (alias UNC1945). CrowdStrike avslöjade denna aktör i oktober 2021 för att ha orkestrerat attacker mot telekomsektorn för att stjäla abonnentinformation och samtalsmetadata.

GTPDOOR i aktion

Vid exekvering initierar GTPDOOR en modifiering av processnamn, som maskerar sig som '[syslog]' som anropas från kärnan. Den undertrycker sedan barnsignaler och etablerar en rå socket, vilket gör att implantatet kan ta emot UDP-meddelanden som påverkar nätverksgränssnitten.

I huvudsak tillåter GTPDOOR en hotaktör med etablerad uthållighet på roamingväxelnätverket att kommunicera med en komprometterad värd genom att skicka GTP-C Echo Request-meddelanden som innehåller en skadlig nyttolast. Detta specialiserade GTP-C Echo Request-meddelande fungerar som en kanal för att förmedla kommandon för exekvering på den infekterade maskinen, och skickar resultaten tillbaka till fjärrvärden.

Forskaren framhåller att GTPDOOR diskret kan undersökas från ett externt nätverk, vilket framkallar ett svar genom att skicka ett TCP-paket till valfritt portnummer. Om implantatet är aktivt returneras ett tillverkat tomt TCP-paket tillsammans med information om huruvida destinationsporten var öppen eller svarade på värden.