Охотники за угрозами обнаружили новую вредоносную программу для Linux под названием GTPDOOR, предназначенную для развертывания в телекоммуникационных сетях, прилегающих к станциям GPRS-роуминга (GRX)
Вредоносная программа является новой в том смысле, что она использует протокол туннелирования GPRS (GTP) для связи командования и управления (C2).
GPRS-роуминг позволяет абонентам получать доступ к своим услугам GPRS, находясь вне досягаемости своей домашней мобильной сети. Этому способствует GRX, который передает трафик в роуминге с использованием GTP между посещаемой и домашней наземной мобильной сетью общего пользования (PLMN).
Исследователь безопасности хаксроб, обнаруживший два артефакта GTPDOOR, загруженных в VirusTotal из Китая и Италии, сказал, что бэкдор, вероятно, связан с известным субъектом угрозы, отслеживаемым как LightBasin (он же UNC1945), который ранее был раскрыт CrowdStrike в октябре 2021 года в связи с серией атак, нацеленных на телекоммуникационный сектор с целью кражи информации об абонентах и метаданных вызовов.
"При запуске первое, что делает GTPDOOR, – это изменяет имя процесса на "[системный журнал]", замаскированный под системный журнал, вызываемый из ядра", – сказал исследователь. "Она подавляет дочерние сигналы, а затем открывает необработанный сокет, [который] позволит имплантату получать UDP-сообщения, попадающие на сетевые интерфейсы".
Иными словами, GTPDOOR позволяет субъекту угрозы, который уже установил постоянство в роуминговой сети exchange, связаться со скомпрометированным хостом, отправляя сообщения с эхо-запросом GTP-C с вредоносной полезной нагрузкой.
Это волшебное сообщение с эхо-запросом GTP-C действует как канал для передачи команды, которая должна быть выполнена на зараженной машине, и возвращает результаты обратно удаленному хосту.
GTPDOOR "Может быть скрыто проверен из внешней сети для получения ответа путем отправки TCP-пакета на любой номер порта", - отметил исследователь. "Если имплантат активен, созданный пустой TCP-пакет возвращается вместе с информацией, был ли порт назначения открыт / отвечал на запросы хоста".
"Похоже, что этот имплантат предназначен для установки на скомпрометированные хосты, которые напрямую подключаются к сети GRX – это системы, которые взаимодействуют с сетями других операторов связи через GRX".
