Logiciel malveillant GTPDOOR

Les analystes de sécurité ont identifié un malware Linux nommé GTPDOOR, conçu explicitement pour être déployé dans les réseaux de télécommunications à proximité des échanges d'itinérance GPRS (GRX). Son utilisation innovante du protocole de tunneling GPRS (GTP) pour les communications de commande et de contrôle (C2) distingue ce malware. L'itinérance GPRS permet aux abonnés d'accéder à leurs services GPRS lorsqu'ils sont en dehors de la couverture de leur réseau mobile domestique. Ceci est rendu possible grâce à un GRX, qui facilite le transport du trafic itinérant en utilisant GTP entre le réseau mobile terrestre public (PLMN) visité et le réseau mobile terrestre public (PLMN) d'origine.

Les experts soupçonnent que la porte dérobée GTPDOOR est potentiellement liée à un acteur menaçant reconnu, LightBasin (également connu sous le nom d'UNC1945). Ce groupe cybercriminel spécifique a été associé à une série d'attaques visant le secteur des télécommunications, dans le but de voler les informations sur les abonnés et les métadonnées des appels.

Le logiciel malveillant GTPDOOR fournit un accès illégal aux cybercriminels

Lors de l'exécution, GTPDOOR lance ses opérations en modifiant son nom de processus en « [syslog] », se faisant passer pour un syslog invoqué depuis le noyau. Il prend des mesures pour supprimer les signaux enfants et procède à l'ouverture d'un socket brut, permettant à l'implant d'intercepter les messages UDP dirigés vers les interfaces réseau.

Essentiellement, GTPDOOR offre à un acteur malveillant ayant une persistance établie sur le réseau d'échange itinérant un moyen de communiquer avec un hôte compromis. Cette communication est réalisée en transmettant des messages GTP-C Echo Request contenant une charge utile nuisible. Le message GTP-C Echo Request sert de canal pour envoyer des commandes à exécuter sur la machine infectée et relayer les résultats à l'hôte distant.

GTPDOOR peut être discrètement sondé depuis un réseau externe, déclenchant une réponse en envoyant un paquet TCP à n'importe quel numéro de port. Si l'implant est actif, il renvoie un paquet TCP vide contrefait, ainsi que des informations indiquant si le port de destination était ouvert ou réactif sur l'hôte.

Cet implant semble conçu pour résider sur des hôtes compromis directement connectés au réseau GRX – ce sont des systèmes qui communiquent avec les réseaux d’autres opérateurs de télécommunications via le GRX.

Le logiciel malveillant GTPDOOR effectue plusieurs actions menaçantes une fois activé

GTPDOOR se livre à diverses activités malveillantes, notamment l'écoute d'un paquet de réveil spécifique, identifié comme un message de demande d'écho GTP-C (type GTP 0x01). Remarquablement, l'hôte ne nécessite pas de sockets ou de services d'écoute active, car tous les paquets UDP sont reçus dans l'espace utilisateur via l'ouverture d'un socket brut. De plus, GTPDOOR est conçu pour exécuter une commande sur l'hôte spécifié dans le paquet magique, renvoyant la sortie à l'hôte distant et prenant en charge une fonctionnalité de type « shell inversé ». Les demandes et les réponses sont transmises respectivement sous forme de messages GTP_ECHO_REQUEST et GTP_ECHO_RESPONSE.

L'implant peut être discrètement sondé à partir d'un réseau externe, provoquant une réponse en envoyant un paquet TCP à n'importe quel numéro de port. Si l'implant est actif, il renvoie un paquet TCP vide contrefait, fournissant des informations indiquant si le port de destination était ouvert ou réactif sur l'hôte.

Pour des raisons de sécurité, GTPDOOR authentifie et crypte le contenu des messages des paquets GTP magiques à l'aide d'un simple chiffrement XOR. Au moment de l'exécution, il peut être demandé de modifier sa clé d'authentification et de chiffrement via une nouvelle saisie, empêchant ainsi la clé par défaut codée en dur dans le binaire d'être utilisée par d'autres acteurs malveillants. Pour se fondre dans l'environnement, GTPDOOR change son nom de processus pour ressembler à un processus syslog invoqué en tant que thread du noyau. Il est important de noter qu'il fonctionne sans nécessiter de modifications du pare-feu d'entrée si l'hôte cible est autorisé à communiquer via le port GTP-C.