发现对全球移动网络的新型Linux恶意软件

新研究发现，威胁行为者一直在通过隐秘、复杂的活动攻击世界各地的电信运营商。

BleepingComputer的一份报告引用了化名为HaxRob的安全研究人员的发现，该研究人员发现了两个版本的以前未知的后门，并于2023年底上传到VirusTotal。该后门名为GTPDOOR，显然，它的目标是“非常旧的RedHatLinux版本，表明目标是过时的”。

据称，该后门对的是SGSN、GGSN和P-GW，这些系统与GPRS漫游交换(GRX)服务相邻。这些服务可让攻击者直接访问电信的核心网络，从而收集敏感的私人信息。借助GTPDOOR，攻击者可以为C2通信设置新的加密密钥，将任意数据写入名为“system.conf”的本地文件，执行任意shell命令并将输出返回给C2，指定哪些IP地址可以与受感染的主机通信，提取ACL列表，最后重置恶意软件。

研究人员将该后门归咎于LightBasin，据称是中国威胁行为者，也称为UNC1945。它于2016年首次被网络安全研究人员Mandiant发现，从那时起，人们就观察到它在全球范围内对电信行业。

据称，该组织对电信网络架构和协议有着深入的了解，并模拟了其中一些协议，以从移动通信基础设施中窃取“高度特定的信息”(例如，用户信息和呼叫元数据)。

CrowdStrike的研究人员在2021年末的一份报告中表示，LightBasin在两年内成功攻击了13家全球电信公司。