GTPDOOR backdoor
A Doubleagent kutatói felfedeztek egy új, GTPDOOR nevű Linux malware-t, amelyet a GPRS roaming központok (GRX) szomszédságában lévő távközlési hálózatokban való telepítésre terveztek. A kártevő újdonsága, hogy a GPRS Tunnelling Protocol (GTP) protokollt használja ki a parancs- és vezérlési (C2) kommunikációhoz.
A GPRS roaming lehetővé teszi az előfizetők számára, hogy a GPRS-szolgáltatásokhoz akkor is hozzáférjenek, amikor az otthoni mobilhálózatuk hatótávolságán kívül tartózkodnak. Ezt egy GRX segítségével lehet elősegíteni, amely a barangolási forgalmat a GTP segítségével továbbítja a látogatott és az otthoni nyilvános földi mobilhálózat (PLMN) között.
Haxrob biztonsági kutató, aki két, Kínából és Olaszországból a VirusTotalra feltöltött GTPDOOR leletet fedezett fel, elmondta, hogy a backdoor valószínűleg egy ismert fenyegető szereplőhöz kapcsolódik, akit LightBasin (más néven UNC1945) néven követnek nyomon, amelyet a CrowdStrike 2021 októberében már korábban nyilvánosságra hozott egy, a távközlési ágazatot célzó, előfizetői információk és hívásmetaadatok ellopására irányuló támadássorozattal kapcsolatban.