Специалисты по информационной безопасности из ESET обнаружили новую разновидность вредоносного ПО, нацеленного на программные коммутаторы VoIP (Voice over IP). Предполагается, что вредоносный софт такого типа может использоваться для кибершпионажа.
Обнаруженное вредоносное ПО называется CDRThief. Ее функционал рассчитан на проведение кибератак на конкретную платформу VoIP, которая используется двумя популярными программными коммутаторами Linknat VOS2009 и VOS3000. Это специальные программные решения, которые работают на стандартных серверах Linux.
Эксперты из ESET убеждены, что основная цель найденного вредоноса – похищение разной конфиденциальной информации со скомпрометированного программного коммутатора:
- записи данных вызова (содержащие конфиденциальные метаданные о вызовах VoIP);
- IP-адрес получателя вызова;
- время начала вызова;
- длительность вызова.
В компании ESET отметили, что вредоносное ПО такого типа вряд ли будет иметь повсеместное распространение, но оно особенно привлекло внимание ИБ-специалистов, потому что революционно новый вредоносный софт для Linux встречается невероятно редко.
Вредонос CDRThief пытается украсть метаданные, запрашивая внутренние базы данных MySQL, используемые программным коммутатором, причем режим работы вредоносного ПО демонстрирует «твердое понимание внутренней архитектуры целевой платформы».
В ESET обнаружили, что все подозрительные строки во вредоносном ПО были зашифрованы разработчиками, чтобы скрыть вредоносные функции от статического анализа. Кроме того, даже несмотря на то, что пароль из файла конфигурации зашифрован, вредоносная программа CDRThief все еще может его прочитать и расшифровать.
Исследователи выяснили, что вредоносная программа может быть развернута в любом месте на диске под любым файлом, и как только она начинает работать, сразу пытается запустить легитимный файл, присутствующий на платформе Linknat.
Сотрудник ESET Антон Черепанов, обнаруживший вредоносное ПО для Linux, сказал, что «подобное говорит о том, что вредоносный двоичный файл может быть каким-то образом вставлен в обычную загрузочную цепочку платформы, чтобы добиться устойчивости и, возможно, маскироваться под компонент программного обеспечения программного коммутатора Linknat».
