10 сентября 2020 240

Разговор записывается. CDRThief перехватывает данные софтсвичей VoIP-платформы

Эксперты ESET обнаружили вредонос, который нацелен на софтсвичи VoIP-платформы на Linux. Данная платформа довольно специфична и используется двумя коммутаторами: Linknat VOS2009 и VOS3000.

Софтсвич (от англ. softswitch, software switch) — основной элемент VoIP-сети, который позволяет контролировать вызовы и биллинг, а также управлять звонками. При помощи CDRThief злоумышленники похищают приватную информацию. Например, метаданные звонков: номера телефонов и IP-адреса пользователей, продолжительность звонка, его стоимость и так далее. Для получения этой информации вредонос отправляет запрос к внутренним базам данных MySQL, которые использует софтсвич.


Специалисты ESET отмечают, что злоумышленники хорошо изучили внутреннюю архитектуру атакуемой платформы. Чтобы получить доступ к базе MySQL, вредонос считывает учетные данные из Linknat — конфигурационных файлов VOS2009 и VOS3000. Пароли от документов хранятся в зашифрованном виде, но CDRThief способен их расшифровать.


Вредоносная программа может быть развернута в любом месте на диске c любым именем файла. При этом она способна встраиваться в обычную загрузочную цепочку платформы и маскироваться под компонент софтсвича Linknat.


В настоящее время сложно определить конечную цель злоумышленников, однако есть предположение, что она состоит в кибершпионаже и мошенничестве.


Подробнее о CDRThief — в блоге ESET.

Комментарии

0
Оставьте комментарий!