Το Malware GTPDOOR στοχεύει δίκτυα τηλεπικοινωνιών!
Ερευνητές ασφαλείας ανακάλυψαν ένα νέο malware (κακόβουλο λογισμικό) για το Linux με το όνομα GTPDOOR, το οποίο έχει δημιουργηθεί για να διεισδύει σε δίκτυα τηλεπικοινωνιών roaming GPRS (GRX).
Ένα από τα κύρια χαρακτηριστικά του GTPDOOR είναι η έξυπνη χρήση του Tounnelling Protocol GPRS (GTP) για επικοινωνία ελέγχου και εντολών (C2), προσφέροντας μια καινοτόμο προσέγγιση στον τομέα των κακόβουλων λογισμικών.
Το GPRS roaming επιτρέπει στους χρήστες να απολαμβάνουν τις υπηρεσίες GPRS ακόμα και εκτός περιοχής κάλυψης του δικτύου τους, χάρη στο GRX που διευκολύνει την περιαγωγή των roaming κλήσεων μέσω GTP μεταξύ των επισκεπτών και των κυρίων Δημοσίων Κινητών Δικτύων (PLMN). Ο Haxrob, ένας ερευνητής ασφάλειας, εντόπισε δύο αρχεία GTPDOOR στο VirusTotal που προέρχονται από την Κίνα και την Ιταλία. Υποστηρίζει ότι υπάρχει σύνδεση με τον γνωστό απειλητικό παράγοντα LightBasin (επίσης γνωστός ως UNC1945), ο οποίος συνδέεται με επιθέσεις στον τομέα των τηλεπικοινωνιών με στόχο την κλοπή δεδομένων συνδρομητών και metadata κλήσεων.
Κατά την εκτέλεση, το GTPDOOR προστατεύει την ταυτότητά του με το να αλλάζει το όνομα της διαδικασίας του σε ‘[syslog]’ και ανοίγει ένα socket, επιτρέποντάς του να λαμβάνει μηνύματα UDP σε διεπαφές δικτύου. Αυτή η διαδικασία επιτρέπει σε χάκερς με κακόβουλους σκοπούς που έχουν εγκατασταθεί μόνιμα στο δίκτυο να επικοινωνούν με μολυσμένους υπολογιστές αποστέλλοντας μηνύματα GTP-C Echo Request με κακόβουλο περιεχόμενο. Αυτά τα μηνύματα λειτουργούν ως εργαλεία για την εκτέλεση εντολών στους μολυσμένους υπολογιστές και τη μεταφορά αποτελεσμάτων πίσω στους απομακρυσμένους υπολογιστές.
Ένα ενδιαφέρον χαρακτηριστικό του GTPDOOR είναι η ανταπόκρισή του σε εξωτερικές δοκιμές δικτύου. Μέσω της αποστολής πακέτων TCP σε οποιοδήποτε αριθμό θυρών, μια εξωτερική οντότητα μπορεί να προκαλέσει σε κρυφή βάση μια αντίδραση στη μόλυνση. Σε περίπτωση μόλυνσης, αυτό επιστρέφει ένα διαμορφωμένο κενό πακέτο TCP, παρέχοντας πληροφορίες σχετικά με την κατάσταση της θύρας του υπολογιστή.
Φαίνεται ότι το malware έχει προσαρμοστεί ειδικάα για μολυσμένους υπολογιστές που επικοινωνούν απευθείας με το δίκτυο ανταλλαγής GRX. Αυτό το δίκτυο είναι ζωτικής σημασίας για τη σύνδεση με άλλα δίκτυα τηλεπικοινωνιών παροχής μέσω του GRX. Η τοποθέτηση αυτής της στρατηγικής μέσα στη δομή του δικτύου υπονοεί μια στοχευμένη και προηγμένη προσέγγιση από τους απειλητικούς παράγοντες, επισημαίνοντας τη σημασία των ανθεκτικών μέτρων ασφαλείας στα τηλεπικοινωνιακά περιβάλλοντα.
Συνολικά, το GTPDOOR αποτελεί μια σημαντική προσωποποίηση των τακτικών malware, εκμεταλλευόμενο το GTP για επικοινωνία C2 και αποτελώντας μια σοβαρή απειλή για τα δίκτυα τηλεπικοινωνιών, ιδίως εκείνα που χειρίζονται την ροή των δεδομένων περιαγωγής.
