El malware GTPDOOR Linux se dirige a las telecomunicaciones

Los cazadores de amenazas han descubierto un nuevo malware para Linux llamado GTPDOOR que está diseñado para ser desplegado en redes de telecomunicaciones adyacentes a los intercambios de roaming GPRS (GRX)

El malware es novedoso en el hecho de que aprovecha el protocolo de túnel GPRS (GTP) para las comunicaciones de comando y control (C2).

El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS mientras están fuera del alcance de su red móvil doméstica. Esto se facilita por medio de un GRX que transporta el tráfico itinerante utilizando GTP entre la red móvil terrestre pública (PLMN) visitada y la doméstica.

El investigador de seguridad haxrob, que descubrió dos artefactos GTPDOOR subidos a VirusTotal desde China e Italia, dijo que es probable que la puerta trasera esté vinculada a un conocido actor de amenazas rastreado como LightBasin (también conocido como UNC1945), que fue revelado previamente por CrowdStrike en octubre de 2021 en relación con una serie de ataques dirigidos al sector de las telecomunicaciones para robar información de suscriptores y metadatos de llamadas.


"Cuando se ejecuta, lo primero que hace GTPDOOR es pisotear el nombre del proceso, cambiando su nombre de proceso a '[syslog]', disfrazado de syslog invocado desde el kernel", dijo el investigador. "Suprime las señales de los niños y luego abre un zócalo sin procesar [que] permitirá que el implante reciba mensajes UDP que lleguen a las interfaces de red".

Dicho de otra manera, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio itinerante se ponga en contacto con un host comprometido mediante el envío de mensajes de solicitud de eco GTP-C con una carga maliciosa.

Este mensaje mágico de solicitud de eco GTP-C actúa como un conducto para transmitir un comando que se ejecutará en la máquina infectada y devolver los resultados al host remoto.

GTPDOOR "se puede sondear de forma encubierta desde una red externa para obtener una respuesta mediante el envío de un paquete TCP a cualquier número de puerto", señaló el investigador. "Si el implante está activo, se devuelve un paquete TCP vacío elaborado junto con información sobre si el puerto de destino estaba abierto o respondiendo en el host".

"Este implante parece estar diseñado para asentarse en hosts comprometidos que tocan directamente la red GRX: estos son los sistemas que se comunican con las redes de otros operadores de telecomunicaciones a través de GRX".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta