Эксперты ESET обнаружили вредонос CDRThief, нацеленный на софтсвитчи конкретной VoIP-платформы на базе Linux. Данная платформа весьма специфична и используется двумя коммутаторами: Linknat VOS2009 и VOS3000.

Термином софтсвитч (softwitch, software switch) обычно обозначают основной элемент VoIP-сети, который позволяет контролировать вызовы и биллинг, а также управлять звонками. Программные коммутаторы VoIP — это программы, которые работают на серверах и предназначены для маршрутизации вызовов посредством софта, а не специального оборудования.

Исследователи пишут, что пока они не уверены, кто разработал данную узкоспециализированную малварь и с какой целью. В теории злоумышленники могли применять CDRThief для кибершпионажа или мошенничества с телефонной связью по схеме International Revenue Share Fraud (IRSF).

Как распространяется CDRThief тоже пока неясно. Предполагается, что хакеры могут получать доступ к устройствами, используя брутфорс или какие-то старые уязвимости (о багах в составе VOS2009 и VOS3000 сообщалось в прошлом). Проникнув на Linux-сервер, где работает Linknat VOS2009 или VOS3000, малварь ищет файлы конфигурации Linknat и извлекает учетные данные для БД MySQL, где программный коммутатор хранит информацию о звонках (метданные VoIP-вызовов). После этого вредонос подключается к базе MySQL и осуществляет SQL-запросы для сбора метаданных, которые в итоге передаются на удаленный сервер.

«Интересно, что пароль из файла конфигурации хранится в зашифрованном виде. Однако CDRThief все равно может читать его и расшифровывать. То есть злоумышленники демонстрируют глубокое знание целевой платформы, ведь, насколько мы можем судить, используемые алгоритмы и ключи шифрования не задокументированы. Это значит, что злоумышленникам пришлось отреверсить бинарники платформы или получить информацию об алгоритме шифрования AES и ключе, используемом в коде Linknat, каким-то иным способом», — отмечает специалист ESET Антон Черепанов.

Таким образом, при помощи CDRThief злоумышленники похищают приватную информацию, например, метаданные звонков, среди которых номера телефонов и IP-адреса пользователей, продолжительность звонка, его стоимость и так далее. По сути, CDRThief — это весьма необычная малварь, созданная исключительно с целью кражи метаданных VoIP-вызовов и ничего более. Так, малварь не выполняет shell-команды, какой-либо поиск и не похищает другие файлы, по крайней мере в текущей версии. По мнению исследователей, это означает, что ее создатели, стоящие за атаками, точно знают, чего хотят от каждой из своих кампаний.

Оставить мнение