Caçadores de ameaças descobriram um novo tipo de software malicioso chamado GTPDOOR, feito para atacar redes de telecomunicações próximas a trocas de dados de celulares em roaming (GRX).
O que torna esse malware diferente é que ele usa um protocolo chamado GPRS Tunnelling Protocol (GTP) para se comunicar e dar comandos.
O roaming GPRS permite que os usuários acessem seus serviços de internet móvel quando estão fora da área de cobertura de sua operadora. Isso acontece usando uma espécie de rota (GRX) que leva o tráfego entre a operadora que você está visitando e a sua operadora de celular original.
Um pesquisador de segurança chamado haxrob encontrou dois pedaços desse malware, enviados da China e Itália para um serviço chamado VirusTotal. Ele acredita que esse malware está relacionado a um grupo de hackers conhecido como LightBasin, que já foi identificado em ataques anteriores visando o setor de telecomunicações para roubar informações dos usuários e detalhes das chamadas.
Quando executado, o GTPDOOR realiza uma ação chamada “process-name stomp”, alterando seu nome de processo para ‘[syslog]’ , assim, disfarçando-se como syslog invocado pelo kernel. Ele suprime sinais de processos filhos e, em seguida, abre um socket bruto que permite ao implante receber mensagens UDP que atingem as interfaces de rede.
Em termos mais simples, o GTPDOOR permite que um ator de ameaças que já estabeleceu persistência na rede de troca de roaming entre em contato com um host comprometido, enviando mensagens GTP-C Echo Request com uma carga maliciosa.
Essa mensagem mágica GTP-C Echo Request atua como um canal para transmitir um comando a ser executado na máquina infectada e retornar os resultados ao host remoto.
O GTPDOOR pode ser sondado de forma discreta a partir de uma rede externa para obter uma resposta enviando um pacote TCP para qualquer número de porta. Se o implante estiver ativo, um pacote TCP vazio é retornado, juntamente com informações sobre se a porta de destino estava aberta/respondendo no host.
“Este implante parece ter sido projetado para permanecer em hosts comprometidos que estão diretamente conectados à rede GRX – esses são os sistemas que se comunicam com outras redes de operadoras de telecomunicações por meio da GRX.”
Achou esse artigo interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
