Malware GTPDOOR

Los analistas de seguridad han identificado un malware de Linux llamado GTPDOOR, que está diseñado explícitamente para su implementación dentro de redes de telecomunicaciones cercanas a los intercambios de itinerancia GPRS (GRX). Su utilización innovadora del protocolo de túnel GPRS (GTP) para comunicaciones de comando y control (C2) distingue a este malware. El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS cuando están fuera de la cobertura de su red móvil local. Esto es posible a través de un GRX, que facilita el transporte de tráfico itinerante utilizando GTP entre la red móvil terrestre pública (PLMN) visitada y la local.

Los expertos sospechan que la puerta trasera GTPDOOR está potencialmente conectada a un actor de amenazas reconocido, LightBasin (también conocido como UNC1945). Este grupo cibercriminal en concreto ha estado vinculado a una serie de ataques dirigidos al sector de las telecomunicaciones, con el objetivo de robar información de los suscriptores y metadatos de llamadas.

El malware GTPDOOR proporciona acceso ilegal a los ciberdelincuentes

Tras la ejecución, GTPDOOR inicia sus operaciones alterando el nombre de su proceso a '[syslog]', haciéndose pasar por un syslog invocado desde el kernel. Toma medidas para suprimir las señales infantiles y procede a abrir un conector sin procesar, lo que permite al implante interceptar mensajes UDP dirigidos a las interfaces de red.

En esencia, GTPDOOR proporciona una vía para que un actor de amenazas con persistencia establecida en la red de intercambio itinerante se comunique con un host comprometido. Esta comunicación se logra mediante la transmisión de mensajes de solicitud de eco GTP-C que contienen una carga útil dañina. El mensaje de solicitud de eco GTP-C sirve como conducto para enviar comandos que se ejecutarán en la máquina infectada y transmitir los resultados al host remoto.

GTPDOOR se puede sondear discretamente desde una red externa, generando una respuesta enviando un paquete TCP a cualquier número de puerto. Si el implante está activo, devuelve un paquete TCP vacío elaborado, junto con información sobre si el puerto de destino estaba abierto o respondía en el host.

Este implante parece diseñado para residir en hosts comprometidos conectados directamente a la red GRX; estos son sistemas que se comunican con otras redes de operadores de telecomunicaciones a través de GRX.

El malware GTPDOOR realiza varias acciones amenazantes una vez activado

GTPDOOR participa en diversas actividades maliciosas, incluida la escucha de un paquete de activación específico, identificado como un mensaje de solicitud de eco GTP-C (tipo GTP 0x01). Sorprendentemente, el host no necesita servicios o sockets de escucha activos, ya que todos los paquetes UDP se reciben en el espacio del usuario a través de la apertura de un socket sin formato. Además, GTPDOOR está diseñado para ejecutar un comando en el host especificado en el paquete mágico, devolviendo la salida al host remoto y admitiendo una funcionalidad de tipo "shell inverso". Tanto las solicitudes como las respuestas se transmiten como mensajes GTP_ECHO_REQUEST y GTP_ECHO_RESPONSE, respectivamente.

El implante se puede sondear discretamente desde una red externa, generando una respuesta enviando un paquete TCP a cualquier número de puerto. Si el implante está activo, devuelve un paquete TCP vacío diseñado, que proporciona información sobre si el puerto de destino estaba abierto o respondía en el host.

Por medidas de seguridad, GTPDOOR autentica y cifra el contenido de los mensajes de paquetes mágicos GTP utilizando un cifrado XOR simple. En tiempo de ejecución, se le puede indicar que cambie su clave de autenticación y cifrado mediante la recodificación, evitando que otros actores de amenazas utilicen la clave predeterminada codificada en el binario. Para integrarse en el entorno, GTPDOOR cambia el nombre de su proceso para que se parezca a un proceso syslog invocado como un subproceso del kernel. Es importante destacar que funciona sin requerir cambios en el firewall de ingreso si al host de destino se le permite comunicarse a través del puerto GTP-C.