GTPDOOR Linux zlonamjerni softver

Sigurnosni istraživači su otkrili novi Linux zlonamjerni softver pod nazivom GTPDOOR, koji je posebno dizajniran za promjenu unutar GPRS roming centrala telekomunikacionih mreža. Značajna karakteristika ovog zlonamjernog softvera je upotreba GPRS tunelskog protokola (eng. GPRS Tunnelling Protocol – GTP) za komunikaciju sa serverom za komandu i kontrolu (C2).

GTPDOOR

GTPDOOR Linux zlonamjerni softver; Source: Bing Image Creator

GTPDOOR

Sigurnosni istraživač HaxRob je otkrio dva uzroka otpremljena na VirusTotal platformu iz Kine i Italije što sugeriše vjerovatnu vezu između ovog backdoor zlonamjernog softvera i zlonamjernog aketra poznatog pod nazivom LightBasin (ili UNC1945). Ovaj zlonamjerni akter je otkriven od strane kompanije CrowdStrike u oktobru 2021. godine prilikom napda na sektor komunikacija u pokušaju krađe podataka o preplaticima i metapodataka poziva.

GTPDOOR zlonamjerni softver je posebno dizajniran za primjenu unutar GPRS roming centrala telekomunikacionih mrež, a koristi GPRS tunelski protokol za komunikaciju sa C2 serverom. GPRS roming omogućava pretplatnicima da pristupe svojim GPRS uslugama dok su van domašaja njihove matične mobilne mreže. Ovo je olakšano pomoću GPRS roming razmjene (eng. GPRS roaming exchanges – GRX) koja prenosi roming saobraćaj koristeći GPRS tunelski protokol između posjećene i matične javne zemaljske mobilne mreže.

 

“Kada se pokrene, prva stvar koju GTPDOOR uradi jeste da se ime procesa ugasi – promeni ime procesa u “[syslog]” – prikriveno kao syslog koji se poziva iz jezgra. On potiskuje signale dece, a zatim otvara neobrađeni priključak [koja] će omogućiti implantu da prima UDP poruke koje pogađaju mrežne interfejse.”

 – HaxRob –

 

Jednostavnije rečeno, GTPDOOR dozvoljava zlonamjernm akteru koji je već uspostavio uporište na mreži razmene u romingu da kontaktira kompromitovani host slanjem poruka GTP-C Echo Request sa zlonamjernim korisnim opterećenjem. Ova GTP-C Echo Request poruka deluje kao kanal za prenošenje komande koja treba da se izvrši na zaraženoj mašini i vraća rezultate nazad udaljenom uređaju.

GTPDOOR vešto prikuplja informacije o zaraženim sistemima nenametljivo, odgovarajući na specifične upite spoljne mreže. Zlonamjerni akteri šalju TCP pakete na različite portove na uređaju žrtve, analizirajući odgovore kako bi utvrdili koji su portovi otvoreni ili zatvoreni. Dakle, napadači mogu da identifikuju aktivne mrežne usluge i funkcije na kompromitovanim uređajima, pribavljajući vredne obaveštajne podatke prije daljih napada. Stručnjaci veruju da GTPDOOR posebno cilja na servere komunikacionih operatera direktno povezanih na jezgro GPRS mreže. Infekcija ovih kritičnih infrastruktura može dovesti do raširenih napada na podatke i do operativnih poremećaja.

 

FUNKCIONALNOST

GTPDOOR je dizajniran za primjenu u sistemima zasnovanim na Linux operativnom sistemu koji su u blizini GPRS roming razmjene, koji su odgovorni za rutiranje i prosljeđivanje signalizacije u vezi sa romingom i saobraćajem na korisničkom nivou. Korištenje GTP-C poruka za komunikaciju omogućava ovom zlonamjernom softveru da se stopi sa legitimnim saobraćajem i koristi već dozvoljene portove koji se ne nadgledaju standardnim bezbjednosnim rješenjima. Za dodatnu skrivenost, GTPDOOR može promijeniti ime procesa da bi oponašao legitimne sistemske procese.

 Zlonamjerni softver osluškuje specifične GTP-C Echo Request poruke (“magični paketi”) da bi se probudio i izvršio datu komandu na uređaju, šaljući izlaz nazad zlonamjernim akterima. Sadržaj magičnih paketa je autentifikovan i šifrovan korišćenjem jednostavne XOR šifre, obezbeđujući da samo ovlašćeni operateri mogu da kontrolišu zlonamjerni softver.

 

GTPDOOR v1 podržava sljedeće operacije na inficiranim uređajima:

  • Podešava novi ključ za šifrovanje koji se koristi za C2 komunikaciju,
  • Upisuje proizvoljne podatke u lokalnu datoteku pod nazivom system.conf,
  • Izvršava proizvoljne komande u komandnom okruženju i šalje nazad rezultat.

 

GTPDOOR v2 poržava sve iznad i dodatno još:

  • Navodi IP adrese ili pomreže kojima je dozvoljeno da komuniciraju sa kompromitovanim uređajem preko mehanizma liste kontrole pristupa (eng. Access Control List – ACL),
  • Vrši preuzimanje liste kontrole pristupa kako bi se izvršila dinamička prilagođavanja mrežnih dozvola za backdoor,
  • Briše liste kontrole pristupa kako bi se resetovao zlonamjerni softver.

 

Takođe je potrebno naglastiti mogućnost zlonamjernog softvera da bude prikriveno ispitan sa spoljne mreže, izazivajući odgovor preko TCP paketa koji je prošao kroz bilo koji port. Ako je zlonamjerni softver aktivan, vraća se napravljen prazan TCP paket, zajedno sa informacijom o tome da li je odredišni port bio otvoren ili odgovara na uređaju.

 

LIGHTBASIN

LightBasin, poznata još i pod nazivom UNC1945 je APT grupa koja cilja na telekomunikacione kompanije širom sveta. Oni koriste implantate zasnovane na Linux i Solaris operativnim sistemima za održavanje dugotrajnog pristupa u ugroženim mrežama, a imaju interakciju sa Windows operativnim sistemima samo po potrebi. Fokus grupe na Linux i Solaris operativnim sistemima je verovatno posledica kombinacije kritične telekomunikacione infrastrukture koja radi na tim operativnim sistemima, pored relativno slabih bezbednosnih mjera i rešenja za nadgledanje na ovim operativnim sistemma.

LightBasin grupa je pokazala napredne tehničke sposobnosti, koristeći različite alate i tehnike kako bi izbegla otkrivanje i kretala se bočno kroz mreže. Takođe je primećeno da ciljaju na druge industrije, kao što su finansijski i profesionalni konsalting, i povezani su sa drugim akterima pretnji, uključujući MustangPanada i RedDelta.

 

ZAKLJUČAK

Pojava GTPDOOR Linux zlonamjernog softvera koji cilja na telekomunikacione mreže preko GPRS roming mreža izaziva ozbiljnu zabrinutost za bezbjednosne stručnjake. Korištenje GPRS tunelskog protokola za za komunikaciju sa serverom za komandu i kontrolu predstavlja novi izazov za Linux administratore, sigurnosne profesionalce, entuzijaste za internet bezbjednost i administratore sistema. Imperativ je detaljna analiza implikacije takvog zlonamjernog softvera i preduzimanje odgovarajućih mjera za zaštitu telekomunikacionih mreža od dugoročnih posljedica.

 

PREPORUKE

Poslovne organizacije koje se bave telekomunikacijma mogu primjeniti sljedeće preporuke:

  • Selektivno otvaranje UDP portova za GPRS roming razmjene za neophodne sisteme, sa eksplicitnim pravilima zaštitnog zida koja odbijaju pakete za korisnike koji ne koriste GPRS tunelski protokol,
  • Koristiti stroga pravila blokiranja nepotrebnih dolaznih TCP veza preko GPRS roming razmjene,
  • Razmisliti o odbacivanju TCP paketa sa RST/ACK indikatorom na zaštitnom zidu GPRS roming razmjene kao mjeru predostožnosti.

 

Pored toga, GSMA ili Globalni sistem za mobilne komunikacije, lobistička organizacija koja zastupa interese operatera mobilnih mreža širom sveta je objavila dvije relevantne smjernice:

Baseline Security Controls Version 3.0 i

Inter-Operator IP Backbone Security Requirements For Service Providers and Inter-operator IP backbone Providers 2.0.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.