Il ricercatore di sicurezza HaxRob ha scoperto una backdoor Linux precedentemente sconosciuta, denominata GTPdoor, progettata per operazioni segrete all’interno delle reti degli operatori mobili. L’Italia sarebbe nel mirino di questo attacco, secondo il nostro esperto Pierluigi Paganini.
Si ritiene che gli attori delle minacce dietro GTPdoor prendano di mira i sistemi adiacenti al Gprs roaming eXchange (GRX), come SGSN, GGSN e P-GW, in grado di fornire agli aggressori l’accesso diretto alla rete principale di una telecomunicazione.
“GTPdoor è una nuova backdoor per sistemi operativi Linux che mira alle reti degli operatori mobili, utilizzando il protocollo GTP per mascherare le sue comunicazioni C2”, commenta Riccardo Michetti, Threat Intelligence Analyst di Swascan.
“La scoperta della backdoor GTPdoor”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è estremamente preoccupante per molteplici fattori”. Ecco quali e come proteggersi da un eventuale attacco nation-state, forse rivolto proprio all’Italia.
Indice degli argomenti
GTPdoor: la backdoor Linux prende di mira le reti mobili
Il GRX è un componente delle telecomunicazioni mobili che facilita i servizi di roaming dati tra aree geografiche e reti diverse. Invece il Serving GPRS Support Node (SGSN), il Gateway GPRS Support Node (GGSN) e il P-GW (Packet Data Network Gateway (per 4G LTE) sono componenti dell’infrastruttura di rete di un operatore di telefonia mobile, ognuno dei quali svolge ruoli diversi nelle comunicazioni mobili.
Poiché le reti SGSN, GGSN e P-GW sono più esposte al pubblico, con intervalli di indirizzi IP elencati in documenti pubblici, il ricercatore ritiene che siano il probabile obiettivo per ottenere l’accesso iniziale alla rete dell’operatore mobile.
“La scoperta della backdoor GTPdoor è estremamente preoccupante per molteplici fattori, in primis perché di tratta di un impianto sviluppato con l’intento specifico di colpire gli operatori di servizi telefonici mobili. Parliamo quindi di infrastrutture critiche la cui compromissione rappresenta una seria minaccia per qualunque stato e che apre ad inquietanti scenari di spionaggio”, spiega Paganini.
HaxRob ha spiegato che GTPdoor è probabilmente uno strumento appartenente al gruppo di minacce “LightBasin” (UNC1945), noto per le operazioni di raccolta di informazioni che prendono di mira diverse società di telecomunicazioni in tutto il mondo.
“Altro elemento di preoccupazione è la capacità di evasione di questa minaccia, all’atto della sua scoperta era capace di eludere la quasi totalità dei sistemi anti-malware in commercio. Si sottolinea inoltre che lo sviluppo della minaccia presuppone una conoscenza approfondita delle infrastrutture utilizzate dagli operatori telefonici e quindi una fase meticolosa di preparazione all’attacco”, continua Paganini.
I “pacchetti magici” GTP-C
Il sofisticato malware backdoor, creato su misura per le reti di telecomunicazione, sfrutta il GPRS Tunnelling Protocol Control Plane (GTP-C) per comunicazioni segrete di comando e controllo (C2).
“Progettato per infiltrarsi nei sistemi Linux impiegati nel routing del traffico roaming, offre funzionalità come l’esecuzione di comandi shell e la modifica delle chiavi di cifratura per la comunicazione con la C2”, sottolinea Riccardo Michetti: “La sua natura evasiva richiede strategie di difesa sofisticate, inclusa la vigilanza sul traffico di rete per comportamenti anomali e l’implementazione di misure di sicurezza specifiche per il protocollo GTP”
L’uso di GTP-C per le comunicazioni consente a GTPdoor di confondersi con il traffico di rete legittimo e di utilizzare porte già autorizzate che non vengono monitorate dalle soluzioni di sicurezza standard. Per una maggiore segretezza, GTPdoor può cambiare il nome del processo per imitare i processi di sistema legittimi.
Il malware è in attesa di specifici messaggi di richiesta di eco GTP-C (“pacchetti magici”) per risvegliarsi ed eseguire il comando dato sull’host, inviando l’output ai suoi operatori.
Il contenuto dei pacchetti magici GTP è autenticato e crittografato con un semplice cifrario XOR, per garantire che solo gli operatori autorizzati possano controllare il malware.
“Questo malware ha come bersaglio le reti degli operatori mobili, equiparabili ad infrastrutture critiche”, avverte Fabrizio Rendina, Head of SOCaaS di Swascan, “in caso di disservizio, potrebbero causare gravi disagi e/o potenziali perdite finanziarie. Basti pensare alle difficoltà nelle comunicazioni in zone rurali dove l’utilizzo di reti mobili è l’unica possibilità per comunicare con il mondo”.
Attacco di attribuzione cinese: Italia nel mirino?
A destare ulteriore preoccupazione è anche la possibile “attribuzione dell’attacco ad un attore nation-state riconducibile al governo cinese e che da anni prende di mira il settore delle telecomunicazioni di tutto il mondo con finalità di spionaggio”, avverte Paganini: “Se l’attribuzione fosse confermata, la scoperta della backdoor dimostra la capacità del governo cinese di infiltrare sistemi di comunicazione di tutto il mondo restando nascosti per anni. Non a caso l’intelligence Italiana nella sua relazione annuale ha messo in guardia da possibili operazioni cyber condotte da Pechino”.
Infine il ricercatore ha scoperto due versioni della backdoor caricate su VirusTotal alla fine del 2023, entrambe passate in gran parte inosservate dagli antivirus. I file binari erano destinati a una versione di Red Hat Linux molto vecchia, il che indica un obiettivo obsoleto.
Paganini ha osservato che “uno dei due sample analizzati dal ricercatore è stato sottoposto alla piattaforma VirusTotal dall’Italia” e si chiede “se sia in corso un attacco ad uno dei nostri gestori di telefonia mobile”.
“Questo malware potrebbe infatti essere utilizzato per ottenere un vantaggio geopolitico, magari spiando le comunicazioni di governi o di organizzazioni sensibili”, conferma Fabrizio Rendina, “o sabotando le reti di comunicazione di un paese nemico. Quindi è possibile che dietro GTPdoor ci sia un gruppo APT magari sponsorizzato da uno stato, visti gli interessi in ballo”.
I dettagli
GTPdoor v1 supporta le seguenti operazioni sugli host violati:
- impostare una nuova chiave di crittografia utilizzata per le comunicazioni C2;
- scrivere dati arbitrari in un file locale denominato “system.conf”;
- eseguire comandi di shell arbitrari e inviare l’output.
Inoltre, alle precedenti operazioni, affianca le seguenti:
- specificare gli indirizzi IP o le sottoreti che possono comunicare con l’host compromesso attraverso un meccanismo di Access Control List (ACL);
- recuperare l’elenco ACL per apportare modifiche dinamiche alle autorizzazioni di rete della backdoor;
- cancellare l’ACL per resettare il malware;
- HaxRob evidenzia anche la capacità del malware di essere sondato in modo nascosto da una rete esterna, ottenendo una risposta tramite un pacchetto TCP passato attraverso qualsiasi porta.
Come proteggersi da GTPdoor
Per difendersi da una minaccia ZeroDay come questa, occorre “implementare un’architettura Zero Trust, verificando ed autorizzando ogni accesso alle risorse della rete, limitando così la superficie di attacco”, suggerisce Fabrizio Rendina: “Altro consiglio è quello di monitorare costantemente la rete così da identificare ed interrompere immediatamente eventuali connessioni non consentite: sarebbe opportuno che tutti gli operatori mobili si dotassero di Firewall GTP in grado di filtrare (o bloccare) le connessioni malevole che passano per il GRX (GPRS Roaming eXchange), impedendo così l’utilizzo del malware GTPdoor”, conclude l’Head of SOCaaS di Swascan. Anche ‘adesione alle linee guida di sicurezza GSMA (1, 2) permette di bloccare o filtrare i pacchetti e le connessioni dannose. Le strategie di rilevamento prevedono il monitoraggio di attività insolite di socket raw, nomi di processi inaspettati e indicatori specifici di malware, come i processi syslog duplicati. Si consigliano le seguenti fasi di rilevamento:
- verificare la presenza di socket raw aperti con lsof, che indicano una potenziale violazione; usare netstat -lp –raw per trovare socket in ascolto insoliti;
- identificare i processi che imitano i thread del kernel con PPID anomali;
- cercare /var/run/daemon.pid, un file mutex usato da GTPdoor;
- trovare un file system.conf inaspettato, forse creato dal malware.
Anche la YARA rule permette ai difensori di rilevare il malware GTPdoor.
