Поделиться
Телеком-операторы, использующие Red Hat Linux, атакованы шпионскими троянами
Выявлена шпионская программа, обеспечивающая кибершпионам возможность атаковать внутренние системы сотовых операторов. Вероятнее всего, это очередная работа китайской APT-группировки.
Кто-то давно не обновлялся
Эксперт по кибербезопасности HaxRob выявил и описал новый, прежде неизвестый бэкдор под Linux под названием GTPDOOR. Как выяснилось, он создан целенаправленно для шпионажа в сетях мобильных операторов.
Операторы GTPDOOR, по-видимому, используют бэкдор для атак на компоненты сетей GPRS, а именно - системы, смежные с GRX, отвечающей за роуминг. К таким относятся SGSN (сервисные узлы), GGSN (шлюзовые узлы) и P-GW (пакетные шлюзы). Конечной целью хакеров, естественно, является доступ к центральной сети телеком-оператора.
Системы SGSN, GGSN и P-GW общедоступны, их IP-адреса приводятся в публичной документации. И, по мнению эксперта, именно они являются основной мишенью для получения первоначального доступа к сети мобильного оператора.
HaxRob обнаружил на VirusTotal сразу две версии бэкдора, загруженные в конце 2023 г. Большинство антивирусов их как угрозу не распознавали. Интересно, что двоичные файлы были нацелены на работу в среде очень старой версии Red Hat Linux.
«Кто-то давно не обновлял свои системы», - заметил эксперт, подразумевая телеком-операторов, пострадавших от вредоноса.
«Телеком-операторы - лакомая мишень для всевозможных кибершпионов, и, судя по исследованию, которое провёл HaxRob, это именно шпионский инструмент, обеспечивающий его операторам «станцию прослушивания» прямо в инфраструктуре целевых телекомов», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, перехваченные версии бэкдора - не единственные, и что под угрозой не только те компании, которые пользуются давно устаревшей версией Red Hat.
«Но другие вариации вредоноса, скорее всего, не будут сильно отличаться по своему поведению, и именно по их действиям их может получиться распознать и нейтрализовать», - считает Анастасия Мельникова.
Сугубо сотовый шпион
Сам по себе GTPDOOR - продвинутый бэкдор, который использует протокол GTP-C (GPRS Tunnelling Protocol Control Plane) для скрытых коммуникаций с контрольным сервером. Использование этого протокола позволяет ему маскировать свои соединения под легитимный сетевой трафик и использовать порты, которые пользуются доверенным статусом и не контролируются средствами защиты. Мало того, GTPDOOR может менять названия своего процесса, чтобы имитировать другие - легитимные системные процессы.
Как установил HaxRob, первый из двух вариантов бэкдора, после проникновения в систему, способен создавать новые криптографические ключи для коммуникаций с контрольным сервером, вписывать произвольные данные в локальный файл system.conf, а также запускать произвольные shell-команды и отсылать обратно на контрольный сервер результаты их выполнения.
Вторая версия, в дополнение ко всему этому, умеет задавать IP-адреса или подсети, которые имеют возможность обмениваться данными со скомпрометированным хостом через механизм ACL (список контроля доступа), извлекать этот список для внесения изменений в сетевые разрешения для бэкдора или очищать его содержимое для сброса настроек вредоноса.
Вдобавок вредонос может получать скрытые запросы из внешних сетей и отправлять ответ в виде TCP-пакета через любой порт.
Выявить вредонос можно по неожиданной активности на сокетах прямого доступа, неожиданных именах процессов или дублировании процессоров в системных логах.
Сокеты прямого доступа можно проверить с помощью команды lsof; команда netstat -lp --raw позволит выявить необычные сокеты, настроенные на приём.
Процессы вредоноса могут маскироваться под имена потоков ядра, но будут иметь аномальные идентификаторы PPID.
GPTDOOR также может использовать mutex-файл /var/run/daemon.pid; индикатором может также служить неожиданное появление файла system.conf.
HaxRob порекомендовал также использовать GTP-файерволлы с жёсткими правилами и следование рекомендациям безопасности GSMA по блокировке и фильтрации вредоносных пакетов и соединений.
По мнению HaxRob, GTPDOOR - это инструмент известной кибершпионской группировки UNC1945, она же LightBasin. Эта APT-группа активна с 2016 года и специализируется на атаках как раз на телеком-операторов. Считается, что она имеет китайское происхождение.
Кстати, один из сэмплов был загружен из Китая, другой - из Италии.
Короткая ссылка
