O malware tem como alvo apenas dois softswitches (opções de software) muito específicos: Linknat VOS2009 e VOS3000.

Pesquisadores de segurança da empresa eslovaca de segurança cibernética ESET disseram hoje que descobriram uma peça muito rara de malware Linux que tem como alvo switches de telefonia Voice-over-IP (VoIP) com o objetivo final de roubar metadados de detalhes de chamadas.

Por enquanto, os pesquisadores disseram que apenas identificaram o malware e analisaram seu comportamento, mas não têm 100% de certeza de quem o desenvolveu e para que propósito.

As teorias consideradas incluem que o malware, que eles chamaram de CDRThief , poderia ser usado para espionagem cibernética ou para um tipo de esquema de fraude de telefonia conhecido como International Revenue Share Fraud (IRSF).

COMO FUNCIONA O CDRTHIEF

Mas, independentemente do objetivo final, a conclusão geral da equipe da ESET foi que o CDRThief foi desenvolvido por um ator de ameaças com profundo conhecimento do cenário VoIP.

Para começar, o malware tem como alvo apenas dois softswitches VoIP executados em servidores Linux. Os softswitches VoIP são programas de software executados em servidores regulares e projetados para rotear chamadas usando software, em vez de hardware especial.

Em segundo lugar, CDRThief tem como alvo apenas dois programas de softswitches, nomeadamente a VOS2009 e VOS3000 sistemas de empresa chinesa Linknat.

"No momento em que este artigo foi escrito, não sabemos como o malware é implantado em dispositivos comprometidos", escreveu Anton Cherepanov, um dos maiores caçadores de malware da ESET, em uma análise hoje.

“Especulamos que os atacantes podem obter acesso ao dispositivo usando um ataque de força bruta ou explorando uma vulnerabilidade. Essas vulnerabilidades no VOS2009 / VOS3000 foram relatadas publicamente no passado”, acrescentou Cherepanov.

No entanto, uma vez que o malware tem um ponto de apoio em um servidor Linux executando Linknat VOS2009 ou VOS3000, o malware procura os arquivos de configuração Linknat e extrai credenciais para o banco de dados MySQL integrado, onde o softswitch armazena registros de detalhes de chamadas (CDR, também conhecido como chamadas VoIP metadados).

"Curiosamente, a senha do arquivo de configuração é armazenada criptografada", ressaltou Cherepanov.

"No entanto, o malware Linux / CDRThief ainda é capaz de lê-lo e descriptografá-lo. Assim, os invasores demonstram profundo conhecimento da plataforma visada, uma vez que o algoritmo e as chaves de criptografia usadas não estão documentados até onde sabemos. Isso significa que os invasores teve que fazer a engenharia reversa dos binários da plataforma ou obter informações sobre o algoritmo de criptografia AES e a chave usada no código Linknat. "

Após essa etapa, Cherepanov diz que o malware se conecta ao banco de dados MySQL e executa consultas SQL para coletar metadados de CDR, que posteriormente são carregados em um servidor remoto.

ATAQUES ÀS TELECOMUNICAÇÕES NÃO SÃO RAROS

O pesquisador da ESET disse que o CDRThief é um malware extremamente restrito, criado apenas para roubar metadados de chamadas VoIP e nada mais. O malware não executa comandos de shell ou pesquisa e rouba outros arquivos, pelo menos em suas formas atuais, o que significa que seus criadores e as pessoas por trás dos ataques CDRThief sabiam exatamente o que queriam de cada uma de suas invasões.

Além disso, softswitches VoIP não são seu tipo regular de software. Normalmente são instalados nas redes de grandes operadoras de telecomunicações.

Nos últimos anos, aumentaram os incidentes em que hackers (geralmente grupos patrocinados pelo Estado) visaram as telecomunicações para roubar informações sobre o tráfego e chamadas de voz. Isso inclui:

• Operação Soft Cell : hackers com links chineses violaram 10 empresas de telecomunicações e roubaram metadados de chamadas de voz.
• O incidente da A1 Telekom : um denunciante revelou que hackers chineses violaram a rede interna do maior provedor de telecomunicações da Áustria e consultaram os sistemas internos para "localização, números de telefone e outros dados de clientes para determinados clientes A1 privados".
• Malware MessageTap : FireEye disse que descobriu malware projetado especificamente para servidores Short Message Service Center (SMSC), em uma rede telco, e rouba dados sobre o tráfego de SMS.

Fonte: ZDNet