Los cazadores de amenazas han descubierto un nuevo malware para Linux llamado PUERTA GTP que está diseñado para implementarse en redes de telecomunicaciones adyacentes a centrales de itinerancia GPRS (GRX)
El malware es novedoso en el hecho de que aprovecha el protocolo de túnel GPRS (GTP) para comunicaciones de comando y control (C2).
El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS mientras están fuera del alcance de su red móvil local. Esto se facilita mediante un GRX que transporta el tráfico itinerante utilizando GTP entre la Red Móvil Terrestre Pública visitada y la de origen (PLMN).
El investigador de seguridad haxrob, que descubrió dos PUERTA GTP artefactos subido a VirusTotal desde China e Italia, dijo que la puerta trasera probablemente esté vinculada a un actor de amenazas conocido rastreado como LightBasin (también conocido como UNC1945), que CrowdStrike reveló previamente en octubre de 2021 en relación con una serie de ataques dirigidos al sector de las telecomunicaciones para robar suscriptores. información y metadatos de llamadas.
“Cuando se ejecuta, lo primero que hace GTPDOOR es que el nombre del proceso se pisa a sí mismo, cambiando su nombre de proceso a ‘[syslog]’ – disfrazado de syslog invocado desde el kernel”, dijo el investigador. “Suprime las señales secundarias y luego abre un socket sin formato [that] permitirá que el implante reciba mensajes UDP que lleguen a las interfaces de red”.
Dicho de otra manera, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio de roaming se comunique con un host comprometido enviando mensajes de solicitud de eco GTP-C con una carga útil maliciosa.
Este mensaje mágico de solicitud de eco GTP-C actúa como un conducto para transmitir un comando que se ejecutará en la máquina infectada y devolver los resultados al host remoto.
GTPDOOR “Se puede sondear de forma encubierta desde una red externa para obtener una respuesta enviando un paquete TCP a cualquier número de puerto”, señaló el investigador. “Si el implante está activo, se devuelve un paquete TCP vacío elaborado junto con información sobre si el puerto de destino estaba abierto/respondiendo en el host”.
“Parece que este implante está diseñado para ubicarse en hosts comprometidos que tocan directamente la red GRX: estos son los sistemas que se comunican con otras redes de operadores de telecomunicaciones a través del GRX”.