Новая вредоносная программа для Linux — угроза атакует платформу VoIP

Следующая новость

Компания ESET — лидер в области информационной безопасности — обнаружила и проанализировала вредоносное программное обеспечение под названием CDRThief, которое направлено на программные коммутаторы Voice over IP (VoIP). Целью новой вредоносной программы является платформа VoIP, которая используется двумя программными коммутаторами китайского производства: Linknat VOS2009 и VOS3000. Программный коммутатор — это основной элемент сети VoIP, который обеспечивает контроль звонков, биллинг и управление. Как правило, они работают на распространенных серверных платформах Linux.

Новые вредоносные программы для Linux обнаруживают достаточно редко, что и привлекло внимание к CDRThief. Основной целью вредоносного ПО является получение различных конфиденциальных данных, включая детальный отчет о звонках (CDR), со скомпрометированного программного коммутатора.

«Трудно понять главную цель злоумышленников, которые используют эту вредоносную программу. Поскольку угроза имеет способность перехватывать конфиденциальную информацию, включая метаданные вызовов, можно предположить, что вредоносное ПО используется для кибершпионажа. Другой возможной целью киберпреступников является мошенничество. Поскольку злоумышленники получают данные о деятельности программных коммутаторов VoIP и их шлюзов, эта информация может быть использована для осуществления несанкционированных звонков на платные номера, — комментируют исследователи ESET, которые обнаружили CDRThief. — CDR содержит метаданные о звонках VoIP, такие как номер абонента и IP-адреса получателей звонков, время начала, продолжительность и стоимость звонков, а также другую информацию».

Для похищения этих метаданных вредоносное программное обеспечение делает запрос к внутренним базам данных MySQL, которые используются программным коммутатором. Таким образом, злоумышленники демонстрируют четкое понимание внутренней архитектуры платформы.

«Наше внимание привлекло абсолютно новое вредоносное ПО для Linux, которое было обнаружено в одном из фидов данных с образцами. Интерес представляет то, что эта угроза нацелена на конкретную VoIP Linux платформу», — объясняют исследователи ESET.

Чтобы скрыть вредоносную функциональность от простых приемов статического анализа, киберпреступники зашифровали все подозрительные строки. Интересно, что пароль от файла конфигурации хранится в зашифрованном виде. Несмотря на это, вредоносное программное обеспечение Linux/CDRThief все еще может читать и расшифровывать его. Можно предположить, что злоумышленники хорошо знают атакованную платформу, поскольку информация об алгоритмах и ключах шифрования не задокументирована. Кроме того, только злоумышленники могут расшифровать любые перехваченные данные.

«Вредоносное программное обеспечение может быть развернуто в любом месте на диске с любым именем файла. Однако неизвестно, какой метод устойчивости используется для запуска вредоносной программы. Стоит отметить, что после запуска угроза пытается запустить легитимный файл, присутствующий на платформе Linknat. Это свидетельствует о том, что вредоносный исполняемый файл можно вставить в обычную цепочку загрузки платформы, чтобы оставаться незамеченным в системе и замаскироваться под компонент программного коммутатора Linknat», — делает вывод исследователь ESET.

Для получения дополнительной информации об угрозе CDRThief перейдите по ссылке.