Các thợ săn mối đe dọa đã phát hiện ra một phần mềm độc hại Linux mới có tên GTPDOOR được thiết kế để triển khai trong các mạng viễn thông liền kề với các sàn giao dịch chuyển vùng GPRS (GRX)
Phần mềm độc hại này mới lạ trong thực tế là nó tận dụng Giao thức đường hầm GPRS (GTP) cho giao tiếp ra lệnh và kiểm soát (C2).
Chuyển vùng GPRS cho phép các thuê bao truy cập các dịch vụ GPRS của họ trong khi họ nằm ngoài tầm với của mạng di động gia đình của họ. Điều này được tạo điều kiện bằng phương tiện GRX vận chuyển lưu lượng chuyển vùng bằng GTP giữa Mạng di động đất công cộng (PLMN) đã truy cập và gia đình.
Nhà nghiên cứu bảo mật Haxrob, người đã phát hiện ra hai cổ vật GTPDOOR được tải lên VirusTotal từ Trung Quốc và Ý, cho biết backdoor có khả năng liên quan đến một tác nhân đe dọa đã biết được theo dõi là LightBasin (hay còn gọi là UNC1945), trước đó đã được CrowdStrike tiết lộ vào tháng 10/2021 liên quan đến một loạt các cuộc tấn công nhắm vào lĩnh vực viễn thông để đánh cắp thông tin thuê bao và siêu dữ liệu cuộc gọi.
"Khi chạy, điều đầu tiên GTPDOOR làm là tự dậm chân tên tiến trình - thay đổi tên tiến trình của nó thành '[syslog]' - ngụy trang dưới dạng syslog được gọi từ hạt nhân", nhà nghiên cứu cho biết. "Nó ngăn chặn tín hiệu trẻ em và sau đó mở một ổ cắm thô [mà] sẽ cho phép cấy ghép nhận thông điệp UDP truy cập vào các giao diện mạng."
Nói cách khác, GTPDOOR cho phép một tác nhân đe dọa đã thiết lập sự kiên trì trên mạng trao đổi chuyển vùng liên hệ với máy chủ bị xâm nhập bằng cách gửi tin nhắn GTP-C Echo Request với tải trọng độc hại.
Thông báo GTP-C Echo Request ma thuật này hoạt động như một ống dẫn để truyền lệnh được thực thi trên máy bị nhiễm và trả lại kết quả cho máy chủ từ xa.
GTPDOOR "Có thể được thăm dò bí mật từ một mạng bên ngoài để gợi ra phản hồi bằng cách gửi một gói TCP đến bất kỳ số cổng nào", nhà nghiên cứu lưu ý. "Nếu cấy ghép đang hoạt động, một gói TCP trống được tạo thủ công sẽ được trả về cùng với thông tin nếu cổng đích đang mở / phản hồi trên máy chủ."
"Bộ cấy ghép này trông giống như nó được thiết kế để ngồi trên các máy chủ bị xâm nhập trực tiếp vào mạng GRX - đây là những hệ thống giao tiếp với các mạng điều hành viễn thông khác thông qua GRX."