Ένα νέο Linux malware με την ονομασία GTPDOOR, σχεδιάστηκε για εγκατάσταση σε τηλεπικοινωνιακά δίκτυα, εκμεταλλευόμενο τα δίκτυα περιαγωγής GPRS.
Δείτε επίσης: Ανακοίνωση της εταιρείας για το Free Download Manager site που διέσπειρε Linux malware
Το malware GTPDOOR είναι πρωτοποριακό, για τον λόγο ότι εκμεταλλεύεται το πρωτόκολλο GPRS (GTP) για επικοινωνία command-and-control (C2).
Το GPRS roaming επιτρέπει στους συνδρομητές να έχουν πρόσβαση στις υπηρεσίες GPRS όταν βρίσκονται εκτός της εμβέλειας του δικτύου τους. Αυτό διευκολύνεται μέσω ενός GRX που μεταφέρει την εξερχόμενη κίνηση ροής χρήσης, με χρήση του GTP μεταξύ του επισκεπτόμενου και του δικτύου εντός του Public Land Mobile Network (PLMN).
Ο ερευνητής ασφάλειας haxrob, ο οποίος ανακάλυψε δύο αντικείμενα GTPDOOR που ανέβηκαν στο VirusTotal από Κίνα και Ιταλία, ανέφερε ότι το backdoor συνδέεται πιθανότατα με γνωστό απειλητικό παράγοντα, γνωστό ως LightBasin (επίσης γνωστό ως UNC1945), που αποκαλύφθηκε προηγουμένως από την CrowdStrike τον Οκτώβριο του 2021 σε σχέση με μια σειρά επιθέσεων που στόχευαν τον τομέα των τηλεπικοινωνιών για την κλοπή πληροφοριών συνδρομητών και μεταδεδομένων κλήσεων.
Με άλλα λόγια, το malware GTPDOOR επιτρέπει σε έναν απειλητικό παράγοντα που έχει ήδη εδραιώσει την επιμονή του στο δίκτυο περιαγωγής GPRS, να επικοινωνήσει με έναν υποτεθέμενο υπολογιστή, στέλνοντας μηνύματα αιτήματος Echo GTP-C με ένα κακόβουλο φορτίο.
Δείτε ακόμα: ANY.RUN Sandbox: Επιτρέπει σε ομάδες SOC και DFIR να αναλύουν προηγμένο κακόβουλο λογισμικό Linux
Αυτό το μήνυμα αιτήματος GTP-C Echo λειτουργεί ως συνδετικό κανάλι για τη μετάδοση μιας εντολής προς εκτέλεση στο μολυσμένο μηχάνημα και την επιστροφή των αποτελεσμάτων στον απομακρυσμένο υπολογιστή.
Το malware GTPDOOR, “Μπορεί να ανιχνεύσει κρυφά ένα εξωτερικό δίκτυο GPRS για να προκαλέσει αντίδραση, αποστέλλοντας ένα πακέτο TCP σε οποιοδήποτε αριθμό θύρας,” σημείωσε ο ερευνητής. “Αν το εμφυτευμένο πρόγραμμα είναι ενεργό, επιστρέφεται ένα παραποιημένο, άδειο TCP πακέτο και πληροφορίες εάν η θύρα προορισμού ήταν ανοιχτή/ανταποκρινόταν στον κεντρικό υπολογιστή.“
“Αυτό το εμφύτευμα φαίνεται σχεδιασμένο να τοποθετείται σε υπολειτουργικούς οικοδεσπότες που έρχονται σε άμεση επαφή με το δίκτυο GRX – αυτά είναι τα συστήματα που επικοινωνούν με άλλα δίκτυα τηλεπικοινωνιών μέσω του GRX.“
Δείτε επίσης: Looney Tunables: Linux bug δίνει πρόσβαση διαχειριστή σε κύριες διανομές
Ποιες είναι οι καλύτερες μέθοδοι προστασίας από malware στο Linux;
Μία από τις πιο αποτελεσματικές μεθόδους προστασίας από Linux malware, όπως το malware GTPDOOR στα δίκτυα GPRS είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Υπάρχουν πολλά εργαλεία ασφαλείας για το Linux, όπως το ClamAV και το Rootkit Hunter, τα οποία μπορούν να ανιχνεύσουν και να αφαιρέσουν το malware. Επίσης, είναι σημαντικό να διατηρείτε το σύστημά σας ενημερωμένο. Η προσεκτική διαχείριση των δικαιωμάτων χρήστη είναι άλλη μια σημαντική μέθοδος προστασίας. Προσπαθήστε να χρησιμοποιείτε λογαριασμούς με περιορισμένα δικαιώματα όταν είναι δυνατόν, για να περιορίσετε την έκταση της ζημιάς που μπορεί να προκαλέσει ένα κακόβουλο λογισμικό.Τέλος, η εκπαίδευση των χρηστών είναι ζωτικής σημασίας.
Πηγή: thehackernews
