研究人員發現一種全新 Linux 惡意軟件,攻擊 VoIP 軟交換器
ESET的研究人員發現了一種新的惡意軟件,它以 IP (VoIP)軟交換器為目標,有可能用于網絡間諜活動。
這款惡意軟件名為CDRThief,旨在攻擊由兩個中國制造的名為Linknat VOS2009和VOS3000的軟交換機使用的特定VoIP平臺,這兩種軟交換機是在標準Linux服務器上運行的基于軟件的解決方案。ESET認為,此惡意軟件的主要目的是從受感染的軟交換中竊取各種私人數據。這包括呼叫數據記錄,其中包含有關VoIP呼叫的敏感元數據,例如呼叫者和呼叫接收者的IP地址,呼叫開始時間和呼叫持續時間。
這家網絡安全公司補充說,之所以引起他們的注意,是因為全新的Linux惡意軟件非常罕見。
CDRThief試圖通過查詢softswitch使用的內部MySQL數據庫來竊取元數據,其操作模式顯示了“對目標平臺的內部架構的牢固理解”。ESET發現惡意軟件中任何可疑的字符串都被作者加密了,目的是為了隱藏惡意功能而不被基本的靜態分析發現。此外,即使配置文件的密碼是加密的,惡意軟件CDRThief仍然能夠讀取和解密它。
ESET還透露,該惡意軟件可以部署到磁盤上任何文件下的任何位置,一旦它開始運行,就會試圖啟動一個存在于Linknat平臺上的合法文件。發現Linux惡意軟件的ESET研究員Anton Cherepanov說:“這表明,惡意的二進制代碼可能會以某種方式插入到平臺的常規引導鏈中,以實現持久性,并可能偽裝成Linknat軟交換軟件的一個組件。”
他補充說:“很難知道使用這種惡意軟件的攻擊者的最終目標。然而,由于它泄露了包括通話元數據在內的敏感信息,似乎有理由認為該惡意軟件被用于網絡間諜活動。攻擊者使用該惡意軟件的另一個可能目標是網絡電話欺詐。由于攻擊者獲得了關于VoIP軟交換及其網關活動的信息,這些信息可能被用于執行國際收入份額欺詐。”
