GTPDOOR Linux Malware Apunta a Telecomunicaciones, Explotando Redes de Roaming GPRS

XPoint
Publicado el 29/02/2024

Malware GTPDOOR en Linux
Cazadores de amenazas han descubierto un nuevo malware para Linux llamado GTPDOOR diseñado para desplegarse en redes de telecomunicaciones adyacentes a intercambios de roaming GPRS (GRX).

Lo novedoso de este malware radica en su uso del Protocolo de Tunelización GPRS (GTP) para comunicaciones de comando y control (C2).

El roaming GPRS permite a los suscriptores acceder a sus servicios GPRS estando fuera del alcance de su red móvil local. Esto se facilita mediante un GRX que transporta el tráfico de roaming utilizando GTP entre la Red de Móviles Terrestres Públicos Visitada (PLMN) y la Red de Móviles Terrestres Públicos Domésticos (PLMN).

Ciberseguridad
El investigador de seguridad haxrob, quien descubrió dos artefactos de GTPDOOR subidos a VirusTotal desde China e Italia, mencionó que es probable que este backdoor esté vinculado a un actor de amenazas conocido como LightBasin (también conocido como UNC1945), que fue revelado por CrowdStrike en octubre de 2021 en relación con una serie de ataques dirigidos al sector de las telecomunicaciones para robar información de suscriptores y metadatos de llamadas.

Malware GTPDOOR en Linux
«Cuando se ejecuta, lo primero que hace GTPDOOR es ‘stompear’ su propio nombre de proceso, cambiando su nombre a ‘[syslog]’ – disfrazándose como syslog invocado desde el kernel», dijo el investigador. «Suprime señales secundarias y luego abre un socket crudo [que] permitirá que el implante reciba mensajes UDP que impacten las interfaces de red».

En otras palabras, GTPDOOR permite que un actor de amenazas que ya ha establecido persistencia en la red de intercambio de roaming se comunique con un host comprometido enviando mensajes de solicitud de eco GTP-C con una carga maliciosa.

Este mensaje mágico de solicitud de eco GTP-C actúa como un conducto para transmitir un comando que se ejecutará en la máquina infectada y devolver los resultados al host remoto.

Ciberseguridad
GTPDOOR «puede ser sondado de forma encubierta desde una red externa para obtener una respuesta al enviar un paquete TCP a cualquier número de puerto», señaló el investigador. «Si el implante está activo, se devuelve un paquete TCP vacío elaborado junto con información sobre si el puerto de destino estaba abierto/respondiendo en el host».

«Este implante parece diseñado para instalarse en hosts comprometidos que están directamente conectados a la red GRX, que son los sistemas que se comunican con otras redes de operadores de telecomunicaciones a través de GRX.»

Preguntas frecuentes

¿Qué es el Rootkit?

+

Un rootkit es un tipo de software malicioso diseñado para darle a un hacker la capacidad de introducirse en un dispositivo y hacerse con el control del mismo. Por lo general, los rootkits afectan el software o el sistema operativo del dispositivo que infectan, pero algunos pueden actuar sobre su hardware o firmware.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos