Nouveau malware CDRThief ciblant les commutateurs logiciels VoIP Linux pour enregistrer les métadonnées des appels
CDRThief – une nouvelle menace détectée dans la nature ciblant un système de voix sur IP spécifique et volant des enregistrements de données d’appel (CDR) via un équipement de central téléphonique. Selon les analystes de logiciels malveillants, ce logiciel malveillant est spécialement conçu pour une plate-forme Linux VolP particulière – les commutateurs logiciels Linknat VOS2009 / 3000.
Les softswitches font référence à une solution logicielle qui agit comme un serveur VolP et gère le trafic dans un réseau de télécommunications. Le malware détecté tente de compromettre les commutateurs logiciels vulnérables VOS2009 / 3000 pour voler les métadonnées d’appel des bases de données MySQL. Ces données comprennent les adresses IP des appelants, les numéros de téléphone, l’heure de début et la durée de l’appel, son itinéraire et son type.
Lors de l’analyse, les chercheurs d’ESET arrivent à la conclusion que ce malware tente de masquer la fonctionnalité malveillante en utilisant le chiffrement XXTEA, puis en exécutant le codage Base64 sur des liens suspects.
Les bases de données MySQL sont généralement protégées par mot de passe. ESET pense que les auteurs ont dû inverser ces binaires de la plate-forme d’ingénierie pour obtenir les détails dans le code LInknat sur l’AES et la clé pour déchiffrer le mot de passe d’accès à la base de données.
Le malware CDRThief peut lire et décrypter cette clé est une indication que les développeurs de celui-ci connaissent très bien la plate-forme. Les informations collectées sont destinées au serveur de commande et de contrôle utilisant JSON sur HTTP après les avoir compressées et chiffrées avec une clé publique RSA-1024 chargée en dur.
«Sur la base de la fonctionnalité décrite, nous pouvons dire que l’objectif principal du malware est de collecter des données à partir de la base de données. Contrairement aux autres portes dérobées, Linux / CDRThief ne prend pas en charge l’exécution de commandes shell ni l’exfiltration de fichiers spécifiques du disque du commutateur logiciel compromis. Cependant, ces fonctions pourraient être introduites dans une version mise à jour »-ESET.
À l’heure actuelle, on ne sait pas comment le malware gagne en persistance. Les chercheurs pensent que la commande – exec -a ‘/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’ – pourrait être insérée dans la plate-forme, camouflée comme un composant logiciel Linknat.