По информации издания The Record, компания AT&T изучает активность ботнета EwDoor, который заразил более 5700 VoIP-серверов, расположенных внутри ее сети.
Все пострадавшие девайсы представляли собой пограничные энтерпрайз-контроллеры сессий EdgeMarc, то есть были VoIP-серверами, предназначенными для балансировки и перенаправления трафика интернет-телефонии от небольших корпоративных клиентов к вышестоящим операторам мобильной связи.
По данным экспертов китайской ИБ-компании Qihoo 360Netlab, для взлома непропатченных EdgeMarc злоумышленники эксплуатируют старую проблему CVE-2017-6079, после чего устанавливают модульную малварь EwDoor.
«[Мы] подтверждаем, что атакованные устройства были пограничными энтерпрайз-контроллерами сессий EdgeMarc, принадлежащими телекоммуникационной компании AT&T. Все 5700 жертв, которых мы видели, находились в США», — пишут специалисты.
Китайские исследователи говорят, что они отслеживают атаки ботнета EwDoor с конца октября 2021 года, и за это время малварь обновлялась как минимум трижды.
Анализ вредоносного ПО выявил, что малварь имеет обширные возможности для DDoS-атак, но также является бкэдором, который можно использовать для доступа к устройствам, сбора и кражи конфиденциальной информации, включая, к примеру, журналы вызовов VoIP.
Однако представители AT&T заявили, что не нашли никаких доказательств, подтверждающих эти заявления Qihoo 360Netlab. В компании подчеркивают, что нет свидетельств того, что хакеры получили доступ к данным клиентов.