Новости GTPDOOR в роуминге: хакеры шпионят за абонентами через международный трафик

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Уязвимость в протоколе GTP стала для группы LightBasin новой выгодной лазейкой.


y4fthxgd0ourd7a90b43x9zn9q6c0v2z.jpg


Исследователи заявили о новой угрозе — вредоносном ПО Для просмотра ссылки Войди или Зарегистрируйся , нацеленном на телекоммуникационные сети. Этот хитроумный Для просмотра ссылки Войди или Зарегистрируйся использует уязвимости протокола GPRS для скрытного контроля зараженных устройств. По данным экспертов, вредоносная программа связана с известной хакерской группировкой LightBasin, которая раньше уже атаковала компании телеком-сектора.

GTPDOOR позволяет злоумышленникам тайно похищать конфиденциальные данные абонентов и метаданные звонков. Уникальность трояна заключается в использовании протокола GTP для связи с командными серверами и контроля над инфицированными устройствами.

Роуминг GPRS позволяет абонентам пользоваться мобильным интернетом в поездках за границей. Эта услуга реализуется благодаря центрам коммутации GRX, передающим трафик между роуминговыми сетями разных операторов по GTP. Уязвимости протокола наносят ущерб как пользователям, так и провайдерам.

Специалист по кибербезопасности haxrob обнаружил два экземпляра GTPDOOR, загруженных на VirusTotal из Китая и Италии. О том, что бэкдор скорее всего связан с группой LightBasin, тоже сообщил он.

О деятельности этой банды ранее рассказывала компания CrowdStrike. Злоумышленники использовали дефекты в протоколе GTP и роуминге GPRS для слежки и хищения данных пользователей.

После запуска GTPDOOR маскируется под системный процесс syslog, вызванный ядром. Он блокирует сигналы от других процессов и открывает сырой сокет для приема сетевых пакетов по протоколу UDP.

GTPDOOR позволяет злоумышленнику, уже получившему доступ к сети GRX, связаться с заражённым хостом, отправляя специальные пакеты GTP-C Echo Request с вредоносной полезной нагрузкой. Эти пакеты служат каналом передачи команд на исполнение и возврата результатов на удалённый хост.

GTPDOOR умеет незаметно собирать информацию о зараженных системах. Для этого троян отвечает на специальные запросы из внешней сети. Хакеры посылают TCP-пакеты на разные порты компьютера жертвы и анализируют ответы. По пустым ответам они понимают, какие порты открыты, а какие закрыты.

Таким образом, злоумышленники могут выявить активные сетевые сервисы и службы на зараженных машинах. Это позволяет им получать ценные разведданные перед дальнейшими атаками. По мнению экспертов, GTPDOOR нацелен на серверы операторов связи, которые напрямую подключены к ядру сети GPRS. Заражение этих критически важных систем может привести к масштабным утечкам и сбоям в работе.
 
Источник новости
www.securitylab.ru

Похожие темы