Redazione RHC : 3 Marzo 2024 09:59
I ricercatori hanno annunciato una nuova minaccia: il malware GTPDOOR, che prende di mira le reti di telecomunicazioni. Questo intelligente trojan Linux sfrutta le vulnerabilità del protocollo GPRS per controllare segretamente i dispositivi infetti. Secondo gli esperti il programma dannoso è associato al noto gruppo di hacker LightBasin, che in passato ha attaccato aziende del settore delle telecomunicazioni.
GTPDOOR consente agli aggressori di rubare segretamente dati sensibili degli abbonati e metadati. L’unicità del Trojan risiede nell’utilizzo del protocollo GTP per comunicare con i server di comando e controllo e controllare i dispositivi infetti.
Il roaming GPRS consente agli abbonati di utilizzare Internet mobile quando viaggiano all’estero. Questo servizio è implementato grazie ai centri di commutazione GRX che trasmettono il traffico tra reti di roaming di diversi operatori tramite GTP. Le vulnerabilità del protocollo causano danni sia agli utenti che ai fornitori.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Lo specialista di sicurezza informatica haxrob ha scoperto due istanze di GTPDOOR caricate su VirusTotal dalla Cina e dall’Italia. Ha anche detto che molto probabilmente la backdoor era associata al gruppo LightBasin.
CrowdStrike ha già riferito delle attività di questa banda. Gli aggressori hanno sfruttato i difetti del protocollo GTP e del roaming GPRS per spiare e rubare i dati degli utenti. Una volta avviato, GTPDOOR si maschera da processo syslog chiamato dal kernel. Blocca i segnali provenienti da altri processi e apre un socket grezzo per ricevere pacchetti di rete su UDP.
GTPDOOR consente a un utente malintenzionato che ha già ottenuto l’accesso alla rete GRX di contattare un host infetto inviando speciali pacchetti GTP-C Echo Request con un payload dannoso. Questi pacchetti fungono da canale per trasmettere comandi per l’esecuzione e restituire risultati a un host remoto.
GTPDOOR può raccogliere silenziosamente informazioni sui sistemi infetti. Per fare ciò, il Trojan risponde a richieste speciali provenienti dalla rete esterna. Gli hacker inviano pacchetti TCP a diverse porte del computer della vittima e analizzano le risposte. Sulla base delle risposte vuote, capiscono quali porte sono aperte e quali sono chiuse.
Pertanto, gli aggressori possono identificare i servizi di rete attivi e i servizi sulle macchine infette. Ciò consente loro di acquisire preziose informazioni prima di ulteriori attacchi. Secondo gli esperti, GTPDOOR prende di mira i server degli operatori di telecomunicazioni che sono direttamente collegati al nucleo della rete GPRS. L’infezione di questi sistemi critici può portare a perdite su larga scala e guasti operativi.
RedazioneDiversi bug di sicurezza di alta gravità sono stati risolti da Mozilla con il rilascio di Firefox 142, impedendo a malintenzionati di eseguire in remoto codice a loro scelta sui sistemi coinvolti...
In data odierna – avverte il Cert-AGiD – sono pervenute segnalazioni da parte di Pubbliche Amministrazioni riguardo a una campagna malevola mirata diffusa in queste ore. Email malevola L...
Un’implementazione di sicurezza urgente è stata distribuita da Apple per iOS e iPadOS al fine di sanare una falla critica zero-day. Questa vulnerabilità, riconosciuta con l’ide...
Un esperto di sicurezza informatica ha individuato falle zero-day che coinvolgono undici noti gestori di password, mettendo a rischio potenzialmente decine di milioni di utenti per il furto di credenz...
Un Initial Access Broker mette in vendita accesso ai server di Nike USA in un celebre forum underground. Un post apparso recentemente su un forum del dark web ha sollevato nuove preoccupazioni in meri...
