研究人员宣布了一种新的威胁 – GTPDOOR 恶意软件 ,针对电信网络。这种聪明的 Linux 木马 利用 GPRS 协议中的漏洞来秘密控制受感染的设备。据专家介绍,该恶意程序与著名的黑客组织LightBasin有关,该组织此前曾攻击过电信行业的公司。
GTPDOOR 允许攻击者秘密窃取敏感的订户数据和呼叫元数据。该木马的独特之处在于使用GTP协议与命令和控制服务器通信并控制受感染的设备。
GPRS漫游允许用户在国外旅行时使用移动互联网。该服务的实现得益于GRX交换中心,通过GTP在不同运营商的漫游网络之间传输流量。协议漏洞对用户和提供商都造成损害。
网络安全专家 haxrob 发现了两个从中国和意大利上传到 VirusTotal 的 GTPDOOR 实例。他还表示,该后门很可能与 LightBasin 组织有关。
CrowdStrike 此前曾报道过该团伙的活动。攻击者利用GTP协议和GPRS漫游中的缺陷来监视和窃取用户数据。
一旦启动,GTPDOOR 就会伪装成内核调用的系统日志进程。它阻止来自其他进程的信号并打开原始套接字以通过 UDP 接收网络数据包。
GTPDOOR 允许已获得 GRX 网络访问权限的攻击者通过发送带有恶意负载的特殊 GTP-C Echo Request 数据包来联系受感染的主机。这些数据包充当传输执行命令并将结果返回到远程主机的通道。
GTPDOOR 可以悄悄地收集有关受感染系统的信息。为此,特洛伊木马会响应来自外部网络的特殊请求。黑客将 TCP 数据包发送到受害者计算机上的不同端口并分析响应。根据空响应,他们了解哪些端口打开,哪些端口关闭。
因此,攻击者可以识别活动的网络服务和受感染计算机上的服务。这使他们能够在进一步攻击之前获得有价值的情报。据专家介绍,GTPDOOR的目标是直接连接到GPRS网络核心的电信运营商服务器。这些关键系统的感染可能导致大规模泄漏和操作故障。
发表评论
您还未登录,请先登录。
登录