{"id":1209238,"date":"2024-02-29T13:38:48","date_gmt":"2024-02-29T13:38:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-gtpdoor-linux-se-dirige-a-las-telecomunicaciones-y-explota-las-redes-de-itinerancia-gprs\/"},"modified":"2024-02-29T13:38:52","modified_gmt":"2024-02-29T13:38:52","slug":"el-malware-gtpdoor-linux-se-dirige-a-las-telecomunicaciones-y-explota-las-redes-de-itinerancia-gprs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-gtpdoor-linux-se-dirige-a-las-telecomunicaciones-y-explota-las-redes-de-itinerancia-gprs\/","title":{"rendered":"El malware GTPDOOR Linux se dirige a las telecomunicaciones y explota las redes de itinerancia GPRS"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Linux\/Seguridad de red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los cazadores de amenazas han descubierto un nuevo malware para Linux llamado PUERTA GTP<\/strong> que est\u00e1 dise\u00f1ado para implementarse en redes de telecomunicaciones adyacentes a centrales de itinerancia GPRS (GRX<\/a>)<\/p>\n

El malware<\/a> es novedoso en el hecho de que aprovecha el protocolo de t\u00fanel GPRS (GTP<\/a>) para comunicaciones de comando y control (C2).<\/p>\n

El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS mientras est\u00e1n fuera del alcance de su red m\u00f3vil local. Esto se facilita mediante un GRX que transporta el tr\u00e1fico itinerante utilizando GTP entre la Red M\u00f3vil Terrestre P\u00fablica visitada y la de origen (PLMN<\/a>).<\/p>\n

\"La<\/a><\/center><\/div>\n

El investigador de seguridad haxrob, que descubri\u00f3 dos PUERTA GTP<\/a> artefactos<\/a> subido a VirusTotal desde China e Italia, dijo que la puerta trasera probablemente est\u00e9 vinculada a un actor de amenazas conocido rastreado como LightBasin (tambi\u00e9n conocido como UNC1945), que CrowdStrike revel\u00f3 previamente en octubre de 2021 en relaci\u00f3n con una serie de ataques dirigidos al sector de las telecomunicaciones para robar suscriptores. informaci\u00f3n y metadatos de llamadas.<\/p>\n

\"Malware<\/a><\/div>\n

“Cuando se ejecuta, lo primero que hace GTPDOOR es que el nombre del proceso se pisa a s\u00ed mismo, cambiando su nombre de proceso a ‘[syslog]’ \u2013 disfrazado de syslog invocado desde el kernel”, dijo el investigador. “Suprime las se\u00f1ales secundarias y luego abre un socket sin formato [that] permitir\u00e1 que el implante reciba mensajes UDP que lleguen a las interfaces de red”.<\/p>\n

Dicho de otra manera, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio de roaming se comunique con un host comprometido enviando mensajes de solicitud de eco GTP-C con una carga \u00fatil maliciosa.<\/p>\n

Este mensaje m\u00e1gico de solicitud de eco GTP-C act\u00faa como un conducto para transmitir un comando que se ejecutar\u00e1 en la m\u00e1quina infectada y devolver los resultados al host remoto.<\/p>\n

\"La<\/a><\/center><\/div>\n

GTPDOOR “Se puede sondear de forma encubierta desde una red externa para obtener una respuesta enviando un paquete TCP a cualquier n\u00famero de puerto”, se\u00f1al\u00f3 el investigador. “Si el implante est\u00e1 activo, se devuelve un paquete TCP vac\u00edo elaborado junto con informaci\u00f3n sobre si el puerto de destino estaba abierto\/respondiendo en el host”.<\/p>\n

“Parece que este implante est\u00e1 dise\u00f1ado para ubicarse en hosts comprometidos que tocan directamente la red GRX: estos son los sistemas que se comunican con otras redes de operadores de telecomunicaciones a trav\u00e9s del GRX”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n