Разделы

Безопасность Техника

Телеком-операторы, использующие Red Hat Linux, атакованы шпионскими троянами

Выявлена шпионская программа, обеспечивающая кибершпионам возможность атаковать внутренние системы сотовых операторов. Вероятнее всего, это очередная работа китайской APT-группировки.

Кто-то давно не обновлялся

Эксперт по кибербезопасности HaxRob выявил и описал новый, прежде неизвестый бэкдор под Linux под названием GTPDOOR. Как выяснилось, он создан целенаправленно для шпионажа в сетях мобильных операторов.

Операторы GTPDOOR, по-видимому, используют бэкдор для атак на компоненты сетей GPRS, а именно - системы, смежные с GRX, отвечающей за роуминг. К таким относятся SGSN (сервисные узлы), GGSN (шлюзовые узлы) и P-GW (пакетные шлюзы). Конечной целью хакеров, естественно, является доступ к центральной сети телеком-оператора.

Системы SGSN, GGSN и P-GW общедоступны, их IP-адреса приводятся в публичной документации. И, по мнению эксперта, именно они являются основной мишенью для получения первоначального доступа к сети мобильного оператора.

red600.jpg
Фото: Red Hat
Устаревшие версии Red Hat Linux уязвимы к бэкдору, нацеленному на телеком-операторов

HaxRob обнаружил на VirusTotal сразу две версии бэкдора, загруженные в конце 2023 г. Большинство антивирусов их как угрозу не распознавали. Интересно, что двоичные файлы были нацелены на работу в среде очень старой версии Red Hat Linux.

«Кто-то давно не обновлял свои системы», - заметил эксперт, подразумевая телеком-операторов, пострадавших от вредоноса.

«Телеком-операторы - лакомая мишень для всевозможных кибершпионов, и, судя по исследованию, которое провёл HaxRob, это именно шпионский инструмент, обеспечивающий его операторам «станцию прослушивания» прямо в инфраструктуре целевых телекомов», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, перехваченные версии бэкдора - не единственные, и что под угрозой не только те компании, которые пользуются давно устаревшей версией Red Hat.

«Но другие вариации вредоноса, скорее всего, не будут сильно отличаться по своему поведению, и именно по их действиям их может получиться распознать и нейтрализовать», - считает Анастасия Мельникова.

Сугубо сотовый шпион

Сам по себе GTPDOOR - продвинутый бэкдор, который использует протокол GTP-C (GPRS Tunnelling Protocol Control Plane) для скрытых коммуникаций с контрольным сервером. Использование этого протокола позволяет ему маскировать свои соединения под легитимный сетевой трафик и использовать порты, которые пользуются доверенным статусом и не контролируются средствами защиты. Мало того, GTPDOOR может менять названия своего процесса, чтобы имитировать другие - легитимные системные процессы.

Как установил HaxRob, первый из двух вариантов бэкдора, после проникновения в систему, способен создавать новые криптографические ключи для коммуникаций с контрольным сервером, вписывать произвольные данные в локальный файл system.conf, а также запускать произвольные shell-команды и отсылать обратно на контрольный сервер результаты их выполнения.

Вторая версия, в дополнение ко всему этому, умеет задавать IP-адреса или подсети, которые имеют возможность обмениваться данными со скомпрометированным хостом через механизм ACL (список контроля доступа), извлекать этот список для внесения изменений в сетевые разрешения для бэкдора или очищать его содержимое для сброса настроек вредоноса.

Вдобавок вредонос может получать скрытые запросы из внешних сетей и отправлять ответ в виде TCP-пакета через любой порт.

Какие требования предъявляет рынок к современной ERP-системе
Маркет

Выявить вредонос можно по неожиданной активности на сокетах прямого доступа, неожиданных именах процессов или дублировании процессоров в системных логах.

Сокеты прямого доступа можно проверить с помощью команды lsof; команда netstat -lp --raw позволит выявить необычные сокеты, настроенные на приём.

Процессы вредоноса могут маскироваться под имена потоков ядра, но будут иметь аномальные идентификаторы PPID.

GPTDOOR также может использовать mutex-файл /var/run/daemon.pid; индикатором может также служить неожиданное появление файла system.conf.

Как МТС сократила time-to-market сделок на 10% с помощью CRM на базе «Битрикс24»
Цифровизация

HaxRob порекомендовал также использовать GTP-файерволлы с жёсткими правилами и следование рекомендациям безопасности GSMA по блокировке и фильтрации вредоносных пакетов и соединений.

По мнению HaxRob, GTPDOOR - это инструмент известной кибершпионской группировки UNC1945, она же LightBasin. Эта APT-группа активна с 2016 года и специализируется на атаках как раз на телеком-операторов. Считается, что она имеет китайское происхождение.

Кстати, один из сэмплов был загружен из Китая, другой - из Италии.

Роман Георгиев