Nuevo malware de Linux roba detalles de llamadas de VoIP Softswitch Systems

voip-malware

Los investigadores de seguridad cibernética han descubierto un tipo completamente nuevo de malware de Linux denominado «CDRThief» que se dirige a los conmutadores de software de voz sobre IP (VoIP) en un intento de robar los metadatos de las llamadas telefónicas.

«El objetivo principal del malware es filtrar varios datos privados de un softswitch comprometido, incluidos los registros de detalles de llamadas (CDR)», dijeron los investigadores de ESET en un análisis del jueves.

«Para robar estos metadatos, el malware consulta las bases de datos MySQL internas utilizadas por el softswitch. Por lo tanto, los atacantes demuestran una buena comprensión de la arquitectura interna de la plataforma objetivo».

Los conmutadores de software (abreviatura de conmutadores de software) son generalmente servidores de VoIP que permiten que las redes de telecomunicaciones administren el tráfico de voz, fax, datos y video, y el enrutamiento de llamadas.

La investigación de ESET descubrió que CDRThief apuntó a una plataforma Linux VoIP específica, a saber, los softswitches VOS2009 y 3000 de la empresa china Linknat, y tenía su funcionalidad maliciosa encriptada para evadir el análisis estático.

El malware comienza intentando ubicar los archivos de configuración de Softswitch de una lista de directorios predeterminados con el objetivo de acceder a las credenciales de la base de datos MySQL, que luego se descifran para consultar la base de datos.

Los investigadores de ESET dicen que los atacantes habrían tenido que aplicar ingeniería inversa a los archivos binarios de la plataforma para analizar el proceso de cifrado y recuperar la clave AES utilizada para descifrar la contraseña de la base de datos, lo que sugiere el «profundo conocimiento» de los autores sobre la arquitectura de VoIP.

Además de recopilar información básica sobre el sistema Linknat comprometido, CDRThief extrae detalles de la base de datos (nombre de usuario, contraseña cifrada, dirección IP) y ejecuta consultas SQL directamente en la base de datos MySQL para capturar información relacionada con eventos del sistema, puertas de enlace VoIP y metadatos de llamadas. .

«Los datos que se extraerán de las tablas e_syslog, e_gatewaymapping y e_cdr se comprimen y luego se cifran con una clave pública RSA-1024 codificada antes de la extracción. Por lo tanto, solo los autores u operadores de malware pueden descifrar los datos extraídos», dijo ESET.

En su forma actual, el malware parece estar enfocado solo en recopilar datos de la base de datos, pero ESET advierte que eso podría cambiar fácilmente si los atacantes deciden introducir funciones más avanzadas de robo de documentos en una versión actualizada.

Dicho esto, el objetivo final de los autores del malware o la información sobre el actor de amenazas detrás de la operación aún no está claro.

«Al momento de escribir este artículo, no sabemos cómo se implementa el malware en los dispositivos comprometidos», dijo Anton Cherepanov de ESET. «Especulamos que los atacantes podrían obtener acceso al dispositivo mediante un ataque de fuerza bruta o explotando una vulnerabilidad».

«Parece razonable suponer que el malware se utiliza para ciberespionaje. Otro objetivo posible para los atacantes que utilizan este malware es el fraude de VoIP. Dado que los atacantes obtienen información sobre la actividad de los softswitches de VoIP y sus puertas de enlace, esta información podría usarse para realizar el reparto de ingresos internacionales. Fraude (IRSF)».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática