GTPDOOR в роуминге: хакеры шпионят за абонентами через международный трафик

Исследователи заявили о новой угрозе — вредоносном ПО GTPDOOR , нацеленном на телекоммуникационные сети. Этот хитроумный Linux-троян использует уязвимости протокола GPRS для скрытного контроля зараженных устройств. По данным экспертов, вредоносная программа связана с известной хакерской группировкой LightBasin, которая раньше уже атаковала компании телеком-сектора.

GTPDOOR позволяет злоумышленникам тайно похищать конфиденциальные данные абонентов и метаданные звонков. Уникальность трояна заключается в использовании протокола GTP для связи с командными серверами и контроля над инфицированными устройствами.

Роуминг GPRS позволяет абонентам пользоваться мобильным интернетом в поездках за границей. Эта услуга реализуется благодаря центрам коммутации GRX, передающим трафик между роуминговыми сетями разных операторов по GTP. Уязвимости протокола наносят ущерб как пользователям, так и провайдерам.

Специалист по кибербезопасности haxrob обнаружил два экземпляра GTPDOOR, загруженных на VirusTotal из Китая и Италии. О том, что бэкдор скорее всего связан с группой LightBasin, тоже сообщил он.

О деятельности этой банды ранее рассказывала компания CrowdStrike. Злоумышленники использовали дефекты в протоколе GTP и роуминге GPRS для слежки и хищения данных пользователей.

После запуска GTPDOOR маскируется под системный процесс syslog, вызванный ядром. Он блокирует сигналы от других процессов и открывает сырой сокет для приема сетевых пакетов по протоколу UDP.

GTPDOOR позволяет злоумышленнику, уже получившему доступ к сети GRX, связаться с заражённым хостом, отправляя специальные пакеты GTP-C Echo Request с вредоносной полезной нагрузкой. Эти пакеты служат каналом передачи команд на исполнение и возврата результатов на удалённый хост.

GTPDOOR умеет незаметно собирать информацию о зараженных системах. Для этого троян отвечает на специальные запросы из внешней сети. Хакеры посылают TCP-пакеты на разные порты компьютера жертвы и анализируют ответы. По пустым ответам они понимают, какие порты открыты, а какие закрыты.

Таким образом, злоумышленники могут выявить активные сетевые сервисы и службы на зараженных машинах. Это позволяет им получать ценные разведданные перед дальнейшими атаками. По мнению экспертов, GTPDOOR нацелен на серверы операторов связи, которые напрямую подключены к ядру сети GPRS. Заражение этих критически важных систем может привести к масштабным утечкам и сбоям в работе.