Le chercheur en sécurité HaxRob a découvert une porte dérobée Linux inconnue auparavant nommée GTPDOOR, conçue pour des opérations secrètes au sein des réseaux des opérateurs mobiles.
Les acteurs de la menace derrière GTPDOOR sont censés cibler les systèmes adjacents au GPRS roaming eXchange (GRX), tels que SGSN, GGSN et P-GW, qui peuvent fournir aux attaquants un accès direct au cœur du réseau d’un télécom.
Le GRX est une composante des télécommunications mobiles qui facilite les services d’itinérance des données dans différentes zones géographiques et réseaux. Alors que le Nœud de support GPRS de desserte (SGSN), le Nœud de support GPRS de passerelle (GGSN) et P-GW (Passerelle de réseau de données par paquets (pour 4G LTE) sont des composants de l’infrastructure réseau d’un opérateur mobile, chacun servant des rôles différents dans les communications mobiles.
Comme les réseaux SGSN, GGSN et P-GW sont plus exposés au public, avec des plages d’adresses IP répertoriées dans des documents publics, le chercheur pense qu’ils sont la cible probable pour obtenir un accès initial au réseau de l’opérateur mobile.
Dans son article, HaxRob a expliqué que GTPDOOR est probablement un outil appartenant au groupe de menaces « Light Basin » (INC 1945), connu pour ses opérations de collecte de renseignements ciblant plusieurs opérateurs de télécommunications dans le monde entier.
Le chercheur a découvert deux versions de la porte dérobée téléchargées sur VirusTotal fin 2023, toutes deux passant largement inaperçues par les moteurs antivirus. Les binaires ciblaient une très ancienne version de Red Hat Linux, indiquant une cible obsolète.
L’opération furtive de LA PORTE GTP
GTPDOOR est un logiciel malveillant sophistiqué de porte dérobée conçu pour les réseaux de télécommunications, exploitant le plan de contrôle du protocole de tunneling GPRS (GTP-C) pour les communications secrètes de commande et de contrôle (C2).
Il est conçu pour être déployé dans des systèmes basés sur Linux adjacents au GRX, responsable du routage et de la transmission de la signalisation liée à l’itinérance et du trafic du plan utilisateur.
L’utilisation de GTP-C pour la communication permet à GTPDOOR de se fondre dans le trafic réseau légitime et d’utiliser des ports déjà autorisés qui ne sont pas surveillés par des solutions de sécurité standard. Pour plus de discrétion, GTPDOOR peut changer le nom de son processus pour imiter les processus système légitimes.
Le logiciel malveillant écoute des messages de demande d’écho GTP-C spécifiques (« paquets magiques ») pour se réveiller et exécuter la commande donnée sur l’hôte, renvoyant la sortie à ses opérateurs.
Le contenu des paquets Magic GTP est authentifié et crypté à l’aide d’un simple chiffrement XOR, garantissant que seuls les opérateurs autorisés peuvent contrôler le logiciel malveillant.
La PORTE GTP v1 prend en charge les opérations suivantes sur les hôtes violés:
- Définir une nouvelle clé de chiffrement utilisée pour les communications C2
- Écrivez des données arbitraires dans un fichier local nommé ‘ system.config’
- Exécuter des commandes shell arbitraires et renvoyer la sortie
GTP DOOR v2 prend en charge les opérations ci-dessus ainsi que les suivantes:
- Spécifiez les adresses IP ou les sous-réseaux autorisés à communiquer avec l’hôte compromis via un mécanisme de liste de contrôle d’accès (ACL).
- Récupérez la liste ACL pour apporter des ajustements dynamiques aux autorisations réseau de la porte dérobée.
- Effacer l’ACL pour réinitialiser le malware
HaxRob met également en évidence la capacité du malware à être sondé secrètement à partir d’un réseau externe, provoquant une réponse via un paquet TCP passé par n’importe quel port.
Détection et défense
Les stratégies de détection impliquent la surveillance des activités de socket brutes inhabituelles, des noms de processus inattendus et des indicateurs de logiciels malveillants spécifiques tels que les processus syslog en double.
Les étapes de détection recommandées sont les suivantes:
- Recherchez les sockets raw ouverts avec lsof, indiquant une violation potentielle.
- Utilisez netstat-lp raw raw pour trouver des sockets d’écoute inhabituels.
- Identifiez les processus imitant les threads du noyau avec des PPID anormaux.
- Recherchez /var / exécuter / démon.pid, un fichier mutex utilisé par la PORTE GTP.
- Recherchez un système inattendu.fichier conf, peut-être créé par le logiciel malveillant.
La règle YARA suivante permettant aux défenseurs de détecter le logiciel malveillant de PORTE GTP a également été fournie.
Enfin, le chercheur propose des mesures de défense telles que des pare-feu GTP avec des règles strictes et le respect des directives de sécurité de la GSMA (1, 2) pour bloquer ou filtrer les paquets et connexions malveillants.