Cercetătorul în securitate HaxRob a descoperit o backdoor Linux până acum necunoscută numită GTPDOOR, proiectată pentru operațiuni sub acoperire în cadrul rețelelor de operatori de telefonie mobilă. Actorii de amenințare din spatele GTPDOOR sunt presupuși a viza sistemele adiacente la Schimbul de Roaming GPRS (GRX), cum ar fi SGSN, GGSN și P-GW, care le pot oferi atacatorilor acces direct la rețeaua de bază a unui operator de telecomunicații. GRX este un component al telecomunicațiilor mobile care facilitează serviciile de roaming de date între diferite zone geografice și rețele. În timp ce Serving GPRS Support Node (SGSN), Gateway GPRS Support Node (GGSN) și P-GW (Gateway-ul de Rețea de Date de Pachete (pentru 4G LTE)) sunt componente în infrastructura rețelei unui operator de telefonie mobilă, fiecare având roluri diferite în comunicațiile mobile. Deoarece rețelele SGSN, GGSN și P-GW sunt mai expuse publicului, cu intervale de adrese IP listate în documente publice, cercetătorul crede că acestea sunt ținta probabilă pentru obținerea accesului inițial la rețeaua operatorului de telefonie mobilă.
În expunerea sa, HaxRob a explicat că GTPDOOR este probabil o unealtă care aparține grupului de amenințări ‘LightBasin’ (UNC1945), cunoscut pentru operațiunile de colectare de informații care vizează mai multe companii de telefonie la nivel mondial. Cercetătorul a descoperit două versiuni ale backdoor-ului încărcate pe VirusTotal la sfârșitul anului 2023, ambele trecând în mare parte neobservate de motoarele antivirus. Binarele vizau o versiune foarte veche de Red Hat Linux, indicând un obiectiv învechit.
GTPDOOR este un malware backdoor sofisticat adaptat pentru rețelele de telecomunicații, folosind Protocolul de Tunelare GPRS Control Plane (GTP-C) pentru comunicări de comandă și control (C2) sub acoperire. Este proiectat pentru implementare în sisteme bazate pe Linux adiacente la GRX, responsabile pentru rutarea și redirecționarea semnalizării legate de roaming și traficul de plan al utilizatorului. Utilizarea GTP-C pentru comunicare permite GTPDOOR să se amestece cu traficul de rețea legitim și să utilizeze porturi deja permise care nu sunt monitorizate de soluțiile standard de securitate. Pentru o furtivitate suplimentară, GTPDOOR poate schimba numele procesului său pentru a imita procesele de sistem legitime.
Malware-ul ascultă mesaje specifice de cerere de ecou GTP-C („pachete magice”) pentru a se trezi și executa comanda dată pe gazdă, trimitând rezultatul înapoi operatorilor săi. Conținutul pachetelor GTP magice este autentificat și criptat folosind un cifru XOR simplu, asigurând că doar operatorii autorizați pot controla malware-ul. GTPDOOR v1 suportă următoarele operațiuni pe gazdele compromise: GTPDOOR v2 suportă operațiunile de mai sus plus următoarele: HaxRob subliniază, de asemenea, capacitatea malware-ului de a fi investigat sub acoperire dintr-o rețea externă, atrăgând un răspuns printr-un pachet TCP trecut printr-un port oarecare. Strategiile de detectare implică monitorizarea activităților neobișnuite ale socket-urilor brute, nume de procese neașteptate și indicatori specifici de malware, cum ar fi procesele syslog duplicate. Pașii recomandați de detectare sunt următorii: Regula YARA următoare pentru apărători pentru a detecta malware-ul GTPDOOR a fost, de asemenea, furnizată. În cele din urmă, cercetătorul propune măsuri de apărare, cum ar fi firewall-urile GTP cu reguli stricte și respectarea liniilor directoare de securitate GSMA (1, 2) pentru a bloca sau filtra pachetele și conexiunile maligne.
Leave a Reply