samedi, 20 avril 2024

La porte dérobée Linux GTPDOOR attaque le réseau central des opérateurs de télécommunications

Une étude réalisée par le spécialiste de la sécurité HaxRob a en fait révélé une porte dérobée Linux jusqu’alors inconnue, GTPDOOR. La porte dérobée serait exploitée par les hackers du gang LightBasin. Ce gang est censé mener principalement des attaques contre les opérateurs de télécommunications du monde entier pour collecter des renseignements.

Systèmes impactés

GTPDOOR, dont 2 variantes ont été trouvées, impacte principalement les anciennes versions de Linux, en particulier anciennes variantes de Red Hat Linux. Les deux variantes ont en fait été soumises à VirusTotal fin 2015, contournant les moteurs antivirus.

Le malware cible les systèmes proches de l’élément de réseau mobile GPRS Roaming Exchange (GRX) pour l’itinérance des informations. Il s’agit des systèmes Serving GPRS Assistance Node (SGSN), Gateway GPRS Support Node (GGSN) et P-GW (Packet Data Network Gateway (pour 4G LTE)).

Ces systèmes sont responsables du routage et transmettant des «signalisations» pour le trafic aérien itinérant et utilisateur, et sont davantage disponibles sur l’Internet public. Selon HaxRob, cela en fait une cible beaucoup plus facile pour accéder au réseau central des fournisseurs de téléphonie mobile.

Chemin d’attaque

La porte dérobée abuse du protocole de tunneling GPRS. Control Airplane (GTP-C) pour effectuer des communications cachées de commande et de contrôle (C2).

Grâce au GTP-C, il est possible pour la porte dérobée de « se fondre » dans le trafic réseau légitime et d’utiliser les ports autorisés. non gérés par les applications de sécurité. Pour se camoufler davantage, GTPDOOR peut également modifier le nom de son processus pour qu’il corresponde aux processus système authentiques.

Ce faisant, le malware « écoute » les « demandes d’écho » ou les « paquets magiques » spécifiques au GTP-C. wake » et exécutez une commande spécifique sur l’hôte. Les résultats sont renvoyés aux opérateurs.

Ces « paquets magiques » sont validés et sécurisés avec une simple clé XOR. Avec cela, les pirates de LightBasin garantissent que seuls les opérateurs autorisés peuvent contrôler le malware.

Caractéristiques des versions

Les deux versions distinctes de GTPDOOR ont par ailleurs chacune leurs fonctions. La variante 1, entre autres choses, installe un tout nouveau secret de cryptage de fichier pour l’interaction C2, compose des données approximatives dans un fichier local « system.conf », exécute des commandes shell arbitraires et renvoie le résultat.

Pour nommer Quelques éléments, GTPDOOR v2 se charge de définir les adresses IP ou les sous-réseaux qui permettent l’interaction avec l’hôte concerné via un système d’accès à la liste de contrôle (ACL), de récupérer une liste d’ACL pour permettre des ajustements dynamiques des autorisations réseau de la porte dérobée et de nettoyer le ACL pour réinitialiser le malware.

Bataille

Les opérateurs de télécommunications peuvent résister à la porte dérobée GTPDOOR en surveillant le réseau pour détecter une activité de socket brute inhabituelle, des noms de processus inattendus et des indicateurs de malware particuliers tels que des procédures Syslog dupliquées. .

Selon HaxRob, des procédures telles que les logiciels de pare-feu GTP avec des directives strictes selon les normes de sécurité GSMA 1 et 2, entre autres, sont également extrêmement utiles. Il s’agit de filtrer les packages et les connexions malveillants.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici