Domov Novinky Nový malvér útočí na čínske softswitche na VoIP platforme

Nový malvér útočí na čínske softswitche na VoIP platforme

Zdielať

Nový malvér útočí na čínske softswitche, môže byť užitočným špiónom. CDRThief si pozornosť získal najmä vďaka neobvyklým cieľom.

Výskumníci spoločnosti ESET objavili nový malvér, ktorý útočí na voice over IP (VoIP) sofvérové switche čínskej firmy Linknat VOS2009 a VOS3000. Tieto switche sú kľúčovou a riadiacou súčasťou telekomunikačných sietí a bežia na štandardných Linuxových serveroch. Útočníci využívajú malvér na získavanie informácií z napadnutých softswitchov, a to vrátane záznamov o detailoch hovoru (CDR). Tie obsahujú metadáta o VoIP hovoroch, napríklad čas a trvanie či IP adresy účastníkov. Spôsob, akým malvér infikuje zariadenia, je zatiaľ neznámy – pravdepodobne ide o brute-force útok alebo zneužívanie technických zraniteľností.

Architektúra útoku naznačuje, že útočníci rozumejú fungovaniu napádaných softswitchov. CDRThief získava informácie z využívaných MySQL databáz, ku ktorým pristupuje cez konfiguračné súbory zariadení. Heslo k nim býva zašifrované, no malvér ho dokáže rozšifrovať a prečítať. „Znamená to, že útočníci museli spätne analyzovať binárne súbory na platforme alebo iným spôsobom získať informácie o šifrovacom algoritme AES a kľúči použitom v kóde zariadení Linknat,” vysvetlil Anton Cherepanov z ESETu.

Úlohou malvéru CDRThief je získavanie informácií, no výskumníci upozorňujú, že jeho neskoršie aktualizácie môžu priniesť ďalšie funkcionality. Keďže VoIP softswitche sa využívajú predovšetkým v telekomunikáciách, najpravdepodobnejším motívom útočníkov je kyberšpionáž. Z minulosti je známych viacero prípadov, kedy štátom sponzorované skupiny kradli metadáta z databáz telekomunikačných operátorov. Do širokého povedomia sa dostala najmä operácia Soft Cell, ktorá bola prisúdená čínskym hackerom.

Zdroj: CS