研究人员发现一种全新 Linux 恶意软件,攻击 VoIP 软交换器
ESET的研究人员发现了一种新的恶意软件,它以 IP (VoIP)软交换器为目标,有可能用于网络间谍活动。
这款恶意软件名为CDRThief,旨在攻击由两个中国制造的名为Linknat VOS2009和VOS3000的软交换机使用的特定VoIP平台,这两种软交换机是在标准Linux服务器上运行的基于软件的解决方案。ESET认为,此恶意软件的主要目的是从受感染的软交换中窃取各种私人数据。这包括呼叫数据记录,其中包含有关VoIP呼叫的敏感元数据,例如呼叫者和呼叫接收者的IP地址,呼叫开始时间和呼叫持续时间。
这家网络安全公司补充说,之所以引起他们的注意,是因为全新的Linux恶意软件非常罕见。
CDRThief试图通过查询softswitch使用的内部MySQL数据库来窃取元数据,其操作模式显示了“对目标平台的内部架构的牢固理解”。ESET发现恶意软件中任何可疑的字符串都被作者加密了,目的是为了隐藏恶意功能而不被基本的静态分析发现。此外,即使配置文件的密码是加密的,恶意软件CDRThief仍然能够读取和解密它。
ESET还透露,该恶意软件可以部署到磁盘上任何文件下的任何位置,一旦它开始运行,就会试图启动一个存在于Linknat平台上的合法文件。发现Linux恶意软件的ESET研究员Anton Cherepanov说:“这表明,恶意的二进制代码可能会以某种方式插入到平台的常规引导链中,以实现持久性,并可能伪装成Linknat软交换软件的一个组件。”
他补充说:“很难知道使用这种恶意软件的攻击者的最终目标。然而,由于它泄露了包括通话元数据在内的敏感信息,似乎有理由认为该恶意软件被用于网络间谍活动。攻击者使用该恶意软件的另一个可能目标是网络电话欺诈。由于攻击者获得了关于VoIP软交换及其网关活动的信息,这些信息可能被用于执行国际收入份额欺诈。”
