0
0
Pesquisadores de cibersegurança descobriram um tipo totalmente novo de malware Linux apelidado de “CDRThief” que tem como alvo os softswitches de voz sobre IP (VoIP) na tentativa de roubar metadados de chamadas telefônicas. “O objetivo principal do malware é exfiltrar vários dados privados de um softswitch comprometido, incluindo registros de detalhes de chamadas(CDR)”,disseram pesquisadores da ESET em uma análise de quinta-feira.
“Para roubar esses metadados, o malware consulta bancos de dados internos do MySQL usados pelo softswitch.
Assim, os atacantes demonstram uma boa compreensão da arquitetura interna da plataforma alvo.” Softswitches (abreviação de switches de software) são geralmente servidores VoIP que permitem que as redes de telecomunicações forneçam gerenciamento de tráfego de voz, fax, dados e vídeo e roteamento de chamadas.
A pesquisa da ESET descobriu que o CDRThief tinha como alvo uma plataforma Linux VoIP específica, ou seja, o VOS2009 e 3000 softswitches da empresa chinesa Linknat, e teve sua funcionalidade maliciosa criptografada para evitar análises estáticas.
O malware começa tentando localizar os arquivos de configuração do Softswitch a partir de uma lista de diretórios predeterminados com o objetivo de acessar as credenciais de banco de dados MySQL, que são então descriptografadas para consultar o banco de dados.
Os pesquisadores da ESET dizem que os invasores teriam que fazer engenharia reversa dos binários da plataforma para analisar o processo de criptografia e recuperar a chave AES usada para descriptografar a senha do banco de dados, sugerindo o “profundo conhecimento” dos autores sobre a arquitetura VoIP.
Além de coletar informações básicas sobre o sistema Linknat comprometido, o CDRThief exfiltra detalhes do banco de dados (nome de usuário, senha criptografada, endereço IP) e executa consultas SQL diretamente ao banco de dados MySQL, a fim de capturar informações relativas a eventos do sistema, gateways VoIP e chamada metadata.
“Os dados a serem exfiltrados das tabelas e_syslog, e_gatewaymapping e e_cdr são compactados e, em seguida, criptografados com uma chave pública RSA-1024 codificada antes da exfiltração.
Assim, apenas os autores ou operadores de malware podem descriptografar os dados exfiltrados”, disse a ESET.
Em sua forma atual, o malware parece estar focado apenas na coleta de dados do banco de dados, mas o ESET adverte que pode mudar facilmente caso os invasores decidam introduzir recursos mais avançados de roubo de documentos em uma versão atualizada.
Dito isto, o objetivo final dos autores de malware ou informações sobre o ator de ameaças por trás da operação ainda não está claro.
“No momento da escrita, não sabemos como o malware é implantado em dispositivos comprometidos”, disse Anton Cherepanov, da ESET.
“Especulamos que os atacantes podem obter acesso ao dispositivo usando um ataque de força bruta ou explorando uma vulnerabilidade.”
“Parece razoável supor que o malware é usado para ciberespionagem.
Outro possível objetivo para os atacantes que usam esse malware é a fraude voip. Uma vez que os invasores obtêm informações sobre a atividade de softswitches VoIP e seus gateways, essas informações poderiam ser usadas para realizar fraudes de participação de receita internacional (IRSF).”
FONTE: THE HACKER NEWS