Dünya genelinde mobil ağları hedef alan yeni Linux kötü amaçlı yazılım Durdurulamıyor

[™ Admin]

Dünya genelinde mobil ağları hedef alan yeni Linux kötü amaçlı yazılım Durdurulamıyor

Yeni araştırmalar, tehdit aktörlerinin dünya genelindeki telekom operatörlerini gizli, karmaşık bir casusluk kampanyasıyla hedef aldığını ortaya çıkardı.

BleepingComputer'dan gelen bir rapor, daha önce bilinmeyen bir arka kapının 2023'ün sonlarında VirusTotal'a yüklenen iki versiyonunu bulan HaxRob takma adlı bir güvenlik araştırmacısının bulgularına atıfta bulunuyor. Arka kapının adı GTPDOOR ve görünüşe göre "çok eski bir Red Hat Linux'u hedefliyor" güncelliğini yitirmiş bir hedefi işaret ediyor.”

Arka kapının, GPRS dolaşım eXchange (GRX) hizmetine bitişik olan SGSN, GGSN ve P-GW sistemlerini hedef aldığı söyleniyor. Bu hizmetler, saldırganlara telekomünikasyon ana ağına doğrudan erişim sağlayabilir ve bu da onların hassas, özel bilgileri toplamasına olanak tanır.

Saldırganlar, GTPDOOR'un yardımıyla C2 iletişimleri için yeni bir şifreleme anahtarı belirleyebilir, "system.conf" adlı yerel bir dosyaya isteğe bağlı veriler yazabilir, isteğe bağlı kabuk komutları yürütebilir ve çıktıyı C2'ye geri döndürebilir, hangi IP adreslerinin güvenliği ihlal edilmiş ana bilgisayarla iletişim kurun, ACL listesini çekin ve son olarak kötü amaçlı yazılımı sıfırlayın.

LightBasin geri dönüyor

BleepingComputer, arka kapıların antivirüs motorları tarafından "büyük ölçüde tespit edilmediğini" belirtti.

Araştırmacı, arka kapıyı UNC1945 olarak da bilinen Çinli bir tehdit aktörü olduğu iddia edilen LightBasin'e bağladı. İlk kez 2016 yılında siber güvenlik araştırmacısı Mandiant tarafından tespit edilen bu saldırının o tarihten bu yana küresel ölçekte telekomünikasyon sektörünü hedef aldığı gözlemlendi.

Grubun telekomünikasyon ağı mimarisi ve protokolleri hakkında derinlemesine bilgi sahibi olduğu ve bunlardan bazılarını mobil iletişim altyapısından "son derece spesifik bilgileri" (örneğin abone bilgileri ve çağrı meta verileri) çalmak için taklit ettiği söylendi.

CrowdStrike araştırmacıları, 2021'in sonlarında yayınlanan bir raporda LightBasin'in iki yıl içinde 13 küresel telekom şirketine saldırmayı başardığını söyledi.

Araştırmacılar, bu tür saldırılara karşı savunma yapmak için işletmelerin olağandışı ham soket etkinliklerine, beklenmeyen işlem adlarına ve yinelenen sistem günlüğü işlemleri gibi kötü amaçlı yazılım göstergelerine dikkat etmesi gerektiği konusunda hemfikir.

Kaynak: TechRadar Pro