Nuovo malware CDRThief che prende di mira i softswitch VoIP di Linux per registrare i metadati delle chiamate
CDRThief: una nuova minaccia rilevata in natura che prende di mira un sistema Voice over IP specifico e ruba i record di dati delle chiamate (CDR) tramite apparecchiature di centrale telefonica. Gli analisti di malware affermano che questo malware è stato creato appositamente per una particolare piattaforma VolP Linux: i softswitch Linknat VOS2009 / 3000.
I softswitch si riferiscono alla soluzione software che funge da server VolP e gestisce il traffico in una rete di telecomunicazione. Il malware rilevato cerca di compromettere i softswitch vulnerabili VOS2009 / 3000 per rubare i metadati delle chiamate dai database MySQL. Tali dati includono gli indirizzi IP dei chiamanti, i numeri di telefono, l’ora di inizio e la durata della chiamata, il percorso e il tipo.
Analizzando, i ricercatori di ESET giungono alla conclusione che questo malware tenta di offuscare la funzionalità dannosa utilizzando la crittografia XXTEA e quindi eseguendo la codifica Base64 su collegamenti dall’aspetto sospetto.
I database MySQL sono generalmente protetti da password. ESET ritiene che gli autori abbiano dovuto invertire questi binari della piattaforma per ingegneri per ottenere i dettagli nel codice LInknat su AES e la chiave per decrittografare la password di accesso al database.
Il malware CDRThief può leggere e decrittografare questa chiave è un’indicazione che gli sviluppatori conoscono molto bene la piattaforma. Le informazioni raccolte sono per il server di comando e controllo utilizzando JSON su HTTP dopo averlo compresso e crittografato con una chiave pubblica RSA-1024 hardcoaded.
“Sulla base della funzionalità descritta, possiamo dire che l’obiettivo principale del malware è la raccolta di dati dal database. A differenza di altre backdoor, Linux / CDRThief non supporta l’esecuzione di comandi di shell o l’esfiltrazione di file specifici dal disco del softswitch compromesso. Tuttavia, queste funzioni potrebbero essere introdotte in una versione aggiornata “-ESET.
Al momento, non è noto come il malware ottenga la persistenza. I ricercatori ritengono che il comando – exec -a ‘/ home / kunshi / callservice / bin / callservice -r / home / kunshi / .run / callservice.pid’ – potrebbe essere inserito nella piattaforma, camuffato come componente softswitch Linknat.