Výskumníci spoločnosti ESET objavili nový malvér, ktorý útočí na voice over IP (VoIP) sofvérové switche čínskej firmy Linknat VOS2009 a VOS3000. Tieto switche sú kľúčovou a riadiacou súčasťou telekomunikačných sietí a bežia na štandardných Linuxových serveroch.
Útočníci využívajú malvér na získavanie informácií z napadnutých softswitchov, a to vrátane záznamov o detailoch hovoru (CDR). Tie obsahujú metadáta o VoIP hovoroch, napríklad čas a trvanie či IP adresy účastníkov.
Architekti z fachu?
Spôsob, akým malvér infikuje zariadenia, je zatiaľ neznámy – pravdepodobne ide o brute-force útok alebo zneužívanie technických zraniteľností.
Architektúra útoku naznačuje, že útočníci rozumejú fungovaniu napádaných softswitchov. CDRThief získava informácie z využívaných MySQL databáz, ku ktorým pristupuje cez konfiguračné súbory zariadení. Heslo k nim býva zašifrované, no malvér ho dokáže rozšifrovať a prečítať.
„Znamená to, že útočníci museli spätne analyzovať binárne súbory na platforme alebo iným spôsobom získať informácie o šifrovacom algoritme AES a kľúči použitom v kóde zariadení Linknat,” vysvetlil Anton Cherepanov z ESETu.
In order to steal private data, the CDRThief malware performs queries directly to internal MySQL databases used by the Linknat softswitch. 3/4 pic.twitter.com/CVBFR6SLy4
— ESET research (@ESETresearch) September 10, 2020
Dáta nad zlato
Úlohou malvéru CDRThief je získavanie informácií, no výskumníci upozorňujú, že jeho neskoršie aktualizácie môžu priniesť ďalšie funkcionality. Keďže VoIP softswitche sa využívajú predovšetkým v telekomunikáciách, najpravdepodobnejším motívom útočníkov je kyberšpionáž.
Z minulosti je známych viacero prípadov, kedy štátom sponzorované skupiny kradli metadáta z databáz telekomunikačných operátorov. Do širokého povedomia sa dostala najmä operácia Soft Cell, ktorá bola prisúdená čínskym hekerom.
Krištof Remper