Tehdit avcıları, Linux’ta yeni bir kötü amaçlı yazılım keşfettiler. GTPDOOR GPRS dolaşım santrallerine (GRX) bitişik telekom ağlarında dağıtılmak üzere tasarlanmıştır.
Kötü amaçlı yazılım, komuta ve kontrol (C2) iletişimleri için GPRS Tünel Protokolünü (GTP) kullanması açısından yeni bir özelliktir.
GPRS dolaşımı, abonelerin kendi evlerindeki mobil ağların erişimi dışındayken GPRS hizmetlerine erişmelerine olanak tanır. Bu, ziyaret edilen ile evdeki Kamu Kara Mobil Ağı (PLMN) arasında dolaşım trafiğini GTP kullanarak aktaran bir GRX aracılığıyla kolaylaştırılır.
Çin ve İtalya’dan VirusTotal’a yüklenen iki GTPDOOR eserini keşfeden güvenlik araştırmacısı haxrob, arka kapının muhtemelen LightBasin (aka UNC1945) olarak takip edilen bilinen bir tehdit aktörüyle bağlantılı olduğunu söyledi. Bu, daha önce Ekim 2021’de CrowdStrike tarafından bir dizi bağlantılı olarak ifşa edilmişti. Abone bilgilerini ve çağrı meta verilerini çalmak amacıyla telekom sektörünü hedef alan saldırıların sayısı.
“Çalıştırıldığında, GTPDOOR’un yaptığı ilk şey süreç adının kendisini durdurması ve süreç adını ” olarak değiştirmesidir.[syslog]’ – çekirdekten çağrılan sistem günlüğü olarak gizlenmiş” dedi araştırmacı. “Çocuk sinyallerini bastırıyor ve ardından ham bir soket açıyor [that] implantın ağ arayüzlerine ulaşan UDP mesajlarını almasına olanak tanıyacak.”
Başka bir deyişle, GTPDOOR, dolaşımdaki değişim ağında zaten kalıcılık kurmuş bir tehdit aktörünün, kötü amaçlı bir yük ile GTP-C Yankı İsteği mesajları göndererek güvenliği ihlal edilmiş bir ana bilgisayarla iletişim kurmasına olanak tanır.
Bu sihirli GTP-C Yankı İsteği mesajı, virüslü makinede yürütülecek bir komutu iletmek ve sonuçları uzaktaki ana bilgisayara geri göndermek için bir kanal görevi görür.
GTPDOOR Araştırmacı, “Herhangi bir bağlantı noktası numarasına TCP paketi göndererek yanıt almak için harici bir ağdan gizlice incelenebilir” dedi. “İmplant aktifse, hazırlanmış boş bir TCP paketi, hedef bağlantı noktasının ana makinede açık olup olmadığı/yanıt verip vermediği bilgisi ile birlikte döndürülür.”
“Bu implant, GRX ağına doğrudan temas eden güvenliği ihlal edilmiş ana bilgisayarlara yerleştirilecek şekilde tasarlanmış gibi görünüyor; bunlar, GRX aracılığıyla diğer telekomünikasyon operatörü ağlarıyla iletişim kuran sistemlerdir.”