Un recente malware battezzato GTPDOOR ha sollevato preoccupazioni nel mondo della sicurezza informatica, infiltrandosi nei server Linux fondamentali per l’infrastruttura delle telecomunicazioni globali. Questo sofisticato attacco sfrutta il protocollo GTP (GPRS Tunneling Protocol), precedentemente utilizzato per le comunicazioni mobili, per orchestrare attività dannose attraverso le reti di telecomunicazioni.
Il malware, scoperto dal noto esperto di sicurezza informatica HaxRob, ha rivoluzionato l’uso del protocollo GTP per le comunicazioni di comando e controllo (C2), aprendo la strada a una serie di minacce alla sicurezza dei dati e all’integrità delle reti. GTPDOOR mira in particolare alle reti di telecomunicazioni adiacenti agli scambi di roaming GPRS (GRX), sfruttando la segnalazione GTP-C per mescolare il traffico dannoso con le normali operazioni di rete.
Ciò consente agli aggressori di eseguire comandi su host compromessi da remoto, accedendo a informazioni sensibili sugli abbonati e chiamando i metadati. Questa nuova minaccia rappresenta un salto di qualità nell’arsenale dei criminali informatici, in grado di eseguire codici in modalità remota e di comunicare in modo furtivo, rendendolo estremamente difficile da individuare e bloccare.
Ulteriori analisi hanno rivelato che GTPDOOR non è solo un altro malware Linux, ma un programma sofisticato probabilmente collegato a gruppi di minacce noti come UNC1945 o LightBasin. Questi gruppi hanno dimostrato in passato un interesse nel sfruttare il protocollo GTP per incapsulare il traffico di comando e controllo, indicando una possibile tendenza a mirare alle reti di telecomunicazioni per lo spionaggio informatico o il furto di dati.
Il metodo di comunicazione del malware, che include una tecnica di port-knocking e messaggi di richiesta/risposta eco GTP-C, rende difficile il suo rilevamento e blocco. Inoltre, il malware mira a funzioni e sistemi di rete critici nel settore delle telecomunicazioni, mettendo a rischio informazioni sensibili e l’integrità delle reti stesse.
La scoperta di GTPDOOR sottolinea la necessità di una maggiore vigilanza e l’adozione di soluzioni avanzate di protezione dal malware.
Mentre il panorama della sicurezza informatica continua a evolversi, la scoperta di GTPDOOR ricorda l’importanza dell’innovazione nei meccanismi di difesa. La lotta contro i criminali informatici che prendono di mira le infrastrutture critiche, soprattutto nel settore delle telecomunicazioni, richiede una vigilanza costante e strategie proattive per rilevare, mitigare e prevenire minacce così sofisticate.