GTPDOOR-Malware

Sicherheitsanalysten haben eine Linux-Malware namens GTPDOOR identifiziert, die speziell für den Einsatz in Telekommunikationsnetzwerken in der Nähe von GPRS-Roaming-Austauschen (GRX) entwickelt wurde. Die innovative Nutzung des GPRS Tunneling Protocol (GTP) für die Command-and-Control-Kommunikation (C2) zeichnet diese Malware aus. GPRS-Roaming ermöglicht es Abonnenten, auf ihre GPRS-Dienste zuzugreifen, auch wenn sie sich außerhalb der Abdeckung ihres heimischen Mobilfunknetzes befinden. Dies wird durch einen GRX ermöglicht, der den Transport von Roaming-Verkehr mithilfe von GTP zwischen dem besuchten und dem heimischen Public Land Mobile Network (PLMN) erleichtert.

Experten vermuten, dass die GTPDOOR-Backdoor möglicherweise mit einem bekannten Bedrohungsakteur, LightBasin (auch bekannt als UNC1945), in Verbindung steht. Diese spezielle Gruppe von Cyberkriminellen wurde mit einer Reihe von Angriffen auf den Telekommunikationssektor in Verbindung gebracht, mit dem Ziel, Teilnehmerinformationen und Anrufmetadaten zu stehlen.

Die GTPDOOR-Malware bietet Cyberkriminellen illegalen Zugang

Bei der Ausführung initiiert GTPDOOR seine Vorgänge, indem es seinen Prozessnamen in „[syslog]“ ändert und sich als vom Kernel aufgerufenes Syslog ausgibt. Es ergreift Maßnahmen zur Unterdrückung untergeordneter Signale und öffnet dann einen Raw-Socket, sodass das Implantat an die Netzwerkschnittstellen gerichtete UDP-Nachrichten abfangen kann.

Im Wesentlichen bietet GTPDOOR einem Bedrohungsakteur mit etablierter Persistenz im Roaming-Austauschnetzwerk eine Möglichkeit, mit einem kompromittierten Host zu kommunizieren. Diese Kommunikation wird durch die Übertragung von GTP-C-Echo-Request-Nachrichten erreicht, die eine schädliche Nutzlast enthalten. Die GTP-C-Echo-Request-Nachricht dient als Kanal zum Senden von Befehlen, die auf dem infizierten Computer ausgeführt werden sollen, und zum Weiterleiten der Ergebnisse an den Remote-Host.

GTPDOOR kann diskret von einem externen Netzwerk aus untersucht werden und eine Antwort auslösen, indem ein TCP-Paket an eine beliebige Portnummer gesendet wird. Wenn das Implantat aktiv ist, sendet es ein manipuliertes leeres TCP-Paket zurück, zusammen mit Informationen darüber, ob der Zielport auf dem Host geöffnet war oder reagierte.

Dieses Implantat scheint darauf zugeschnitten zu sein, sich auf kompromittierten Hosts zu befinden, die direkt mit dem GRX-Netzwerk verbunden sind – das sind Systeme, die über das GRX mit anderen Telekommunikationsbetreibernetzwerken kommunizieren.

Die GTPDOOR-Malware führt nach der Aktivierung mehrere bedrohliche Aktionen aus

GTPDOOR ist an verschiedenen böswilligen Aktivitäten beteiligt, darunter das Abhören eines bestimmten Weckpakets, das als GTP-C-Echo-Request-Nachricht (GTP-Typ 0x01) identifiziert wird. Bemerkenswert ist, dass der Host keine aktiven Überwachungs-Sockets oder -Dienste benötigt, da alle UDP-Pakete durch das Öffnen eines Raw-Sockets im Benutzerbereich empfangen werden. Darüber hinaus ist GTPDOOR darauf ausgelegt, einen Befehl auf dem im Magic-Paket angegebenen Host auszuführen, die Ausgabe an den Remote-Host zurückzugeben und eine „Reverse-Shell“-Funktionalität zu unterstützen. Sowohl Anfragen als auch Antworten werden als GTP_ECHO_REQUEST- bzw. GTP_ECHO_RESPONSE-Nachrichten übertragen.

Das Implantat kann diskret von einem externen Netzwerk aus überprüft werden und eine Antwort auslösen, indem ein TCP-Paket an eine beliebige Portnummer gesendet wird. Wenn das Implantat aktiv ist, sendet es ein manipuliertes leeres TCP-Paket zurück, das Informationen darüber liefert, ob der Zielport auf dem Host geöffnet war oder reagierte.

Aus Sicherheitsgründen authentifiziert und verschlüsselt GTPDOOR den Inhalt magischer GTP-Paketnachrichten mithilfe einer einfachen XOR-Verschlüsselung. Zur Laufzeit kann es angewiesen werden, seinen Authentifizierungs- und Verschlüsselungsschlüssel durch Neuschlüsselung zu ändern, wodurch verhindert wird, dass der in der Binärdatei fest codierte Standardschlüssel von anderen Bedrohungsakteuren verwendet wird. Um sich in die Umgebung einzufügen, ändert GTPDOOR seinen Prozessnamen so, dass er einem Syslog-Prozess ähnelt, der als Kernel-Thread aufgerufen wird. Wichtig ist, dass es funktioniert, ohne dass Änderungen an der Eingangs-Firewall erforderlich sind, wenn der Zielhost über den GTP-C-Port kommunizieren darf.