GTPdoor: la nuova minaccia per le reti degli operatori mobili.
Recentemente, i ricercatori di sicurezza HaxRob hanno messo in luce una nuova minaccia denominata GTPdoor, che mira specificamente alle reti degli operatori mobili.
Questa backdoor, scoperta da HaxRob e analizzata da esperti del settore come Pierluigi Paganini, sfrutta il protocollo GTP per mascherare le sue comunicazioni con il comando e controllo (C2), rappresentando un rischio significativo per la sicurezza nazionale, in particolare per l’Italia.
GTPdoor: attacco alle reti di telecomunicazione
GTPdoor è una backdoor progettata per sistemi Linux che prende di mira le componenti essenziali dell’infrastruttura di rete degli operatori di telefonia mobile, come SGSN, GGSN e P-GW.
Questi elementi sono particolarmente esposti e, se compromessi, possono offrire agli attaccanti un accesso diretto alla rete principale di telecomunicazione. La backdoor è stata probabilmente sviluppata da LightBasin (UNC1945), un gruppo noto per le sue operazioni di cyber spionaggio contro società di telecomunicazioni globali.
Strategie di mitigazione e protezione
Per fronteggiare una minaccia avanzata come GTPdoor, è essenziale adottare un approccio proattivo alla sicurezza. Implementare un’architettura Zero Trust, che verifica e autorizza ogni accesso alle risorse di rete, è fondamentale per limitare la superficie di attacco.
Inoltre, il monitoraggio costante della rete permette di identificare e interrompere tempestivamente eventuali connessioni sospette. L’utilizzo di Firewall GTP specifici, che filtrano o bloccano le connessioni malevole attraverso il GRX, rappresenta un ulteriore strato di difesa cruciale.
Adottare le linee guida di sicurezza proposte dalla GSMA e implementare strategie di rilevamento specifiche, come il monitoraggio di attività insolite e la ricerca di indicatori di compromissione tipici di GTPdoor, sono passi indispensabili per proteggere le infrastrutture critiche. Tra le tecniche di rilevamento si includono anche la verifica di socket raw aperti, l’identificazione di processi con PPID anomali e, infine, la ricerca di file sospetti creati dal malware.
