Malware GTPDOOR Linux attacca gli operatori di telefonia mobile

Il ricercatore di sicurezza HaxRob ha scoperto una backdoor Linux precedentemente sconosciuta denominata GTPDOOR. Questa è progettata per operazioni segrete all'interno delle reti degli operatori di telefonia mobile. Gli autori delle minacce dietro GTPDOOR prendano di mira i sistemi adiacenti al GPRS roaming eXchange (GRX), come SGSN, GGSN e P-GW. In questo modo è possibile fornire agli aggressori l'accesso diretto alla rete principale. Il GRX è un componente delle telecomunicazioni mobili che facilita i servizi di roaming dati attraverso diverse aree geografiche e reti. Il Serving GPRS Support Node, il Gateway GPRS Support Node e il Packet Data Network Gateway sono invece componenti all'interno dell'infrastruttura di rete di un operatore di telefonia mobile. Poiché le reti SGSN, GGSN e P-GW sono più esposte al pubblico, con intervalli di indirizzi IP elencati nei documenti pubblici, HaxRob ritiene che siano il probabile obiettivo per ottenere l'accesso iniziale alla rete dell'operatore mobile.

GPTDOOR: malware appartenente alla stessa famiglia di LightBasin

Il un post pubblicato sul proprio blog, il ricercatore sostiene che GTPDOOR è probabilmente uno strumento appartenente al gruppo di minacce "LightBasin" (UNC1945). Questo è noto per le operazioni di raccolta di informazioni che prendono di mira diverse società di telecomunicazioni in tutto il mondo. HaxRob ha scoperto due versioni della backdoor caricate su VirusTotal alla fine del 2023, entrambe passate in gran parte inosservate dai motori antivirus. GTPDOOR è un sofisticato malware backdoor su misura per le reti di telecomunicazioni, che sfrutta il GPRS Tunneling Protocol Control Plane (GTP-C) per comunicazioni segrete di comando e controllo (C2). È progettato per l'implementazione in sistemi basati su Linux adiacenti al GRX, responsabile dell'instradamento e dell'inoltro della segnalazione relativa al roaming e del traffico del piano utente. È inoltre in grado di impostare nuove chiavi di crittografia per le comunicazioni C2 ed eseguire comandi arbitrari.

L'utilizzo di GTP-C per la comunicazione consente a GTPDOOR di integrarsi con il traffico di rete legittimo e di utilizzare porte già consentite non monitorate. GTPDOOR può anche modificare il nome del processo per imitare processi di sistema legittimi. Il malware ascolta specifici messaggi di richiesta GTP-C (“pacchetti magici”) per attivarsi ed eseguire il comando dato sull'host, inviando l'output ai suoi operatori. HaxRob evidenzia inoltre la capacità del malware di essere sondato di nascosto da una rete esterna, suscitando una risposta tramite un pacchetto TCP passato attraverso qualsiasi porta. Per rilevare il malware è utile monitorare attività insolite di socket grezzi, nomi di processi imprevisti e indicatori di malware specifici come processi syslog duplicati. Come misure di difesa, HaxRob propone i firewall GTP con regole rigorose e il rispetto delle linee guida di sicurezza GSMA (1, 2). Ciò permette di bloccare o filtrare pacchetti e connessioni dannose.