Nový malvér útočí na čínske softswitche, môže byť užitočným špiónom

CDRThief si pozornosť získal najmä vďaka neobvyklým cieľom.
Nový malvér útočí na čínske softswitche, môže byť užitočným špiónom

Výskumníci spoločnosti ESET objavili nový malvér, ktorý útočí na voice over IP (VoIP) sofvérové switche čínskej firmy Linknat VOS2009 a VOS3000. Tieto switche sú kľúčovou a riadiacou súčasťou telekomunikačných sietí a bežia na štandardných Linuxových serveroch.

Útočníci využívajú malvér na získavanie informácií z napadnutých softswitchov, a to vrátane záznamov o detailoch hovoru (CDR). Tie obsahujú metadáta o VoIP hovoroch, napríklad čas a trvanie či IP adresy účastníkov.

Architekti z fachu?

Spôsob, akým malvér infikuje zariadenia, je zatiaľ neznámy – pravdepodobne ide o brute-force útok alebo zneužívanie technických zraniteľností.

Architektúra útoku naznačuje, že útočníci rozumejú fungovaniu napádaných softswitchov. CDRThief získava informácie z využívaných MySQL databáz, ku ktorým pristupuje cez konfiguračné súbory zariadení. Heslo k nim býva zašifrované, no malvér ho dokáže rozšifrovať a prečítať.

„Znamená to, že útočníci museli spätne analyzovať binárne súbory na platforme alebo iným spôsobom získať informácie o šifrovacom algoritme AES a kľúči použitom v kóde zariadení Linknat,” vysvetlil Anton Cherepanov z ESETu.

Dáta nad zlato

Úlohou malvéru CDRThief je získavanie informácií, no výskumníci upozorňujú, že jeho neskoršie aktualizácie môžu priniesť ďalšie funkcionality. Keďže VoIP softswitche sa využívajú predovšetkým v telekomunikáciách, najpravdepodobnejším motívom útočníkov je kyberšpionáž.

Z minulosti je známych viacero prípadov, kedy štátom sponzorované skupiny kradli metadáta z databáz telekomunikačných operátorov. Do širokého povedomia sa dostala najmä operácia Soft Cell, ktorá bola prisúdená čínskym hekerom.


Krištof Remper