Investigadores de seguridad de la firma eslovaca de seguridad cibernética ESET han descubierto una nueva pieza interesante de malware diseñado para atacar softswitches específicos de VoIP de Linux, Linknat VOS2009 / VOS3000, que se ejecutan en servidores Linux estándar. Una vez que el dispositivo se ve comprometido, el malware, denominado CDRThief, intenta robar registros de detalles de llamadas (CDR), incluidas direcciones IP, duración de la llamada, tarifa de llamada y más.
El binario ELF del malware se compiló con el compilador Go y todas las cadenas de aspecto sospechoso se cifraron con XXTEA y la clave fhu84ygf8643 y luego se codificaron en base64.
El objetivo principal del malware es exfiltrar varios datos privados de un softswitch comprometido. Para lograr esto, CDRThief apunta a una base de datos MySQL interna que se ejecuta en el dispositivo al que obtiene acceso leyendo las credenciales de los archivos de configuración Linknat VOS2009 y VOS3000.
Aunque la contraseña del archivo de configuración se almacena cifrada, el malware puede leerla y descifrarla.
“Por lo tanto, los atacantes demuestran un conocimiento profundo de la plataforma objetivo, ya que el algoritmo y las claves de cifrado utilizadas no están documentadas hasta donde podemos decir. Significa que los atacantes tuvieron que aplicar ingeniería inversa a los binarios de la plataforma u obtener información sobre el algoritmo de cifrado AES y la clave utilizada en el código Linknat ”, señalan los investigadores.
ESET dice que, a diferencia de otras puertas traseras, la muestra de malware analizada no contenía funcionalidad para ejecutar comandos de shell o extraer archivos específicos del disco del softswitch comprometido; sin embargo, es posible que estas capacidades se introduzcan en futuras versiones del malware CDRThief.
Los investigadores no han podido averiguar cómo se distribuye el malware en los dispositivos comprometidos, pero creen que los actores de amenazas podrían obtener acceso al dispositivo mediante un ataque de fuerza bruta o aprovechando una vulnerabilidad.
“Es difícil saber cuál es el objetivo final de los atacantes que utilizan este malware. Sin embargo, dado que este malware filtra información confidencial, incluidos los metadatos de llamadas, parece razonable suponer que el malware se utiliza para el ciberespionaje. Otro posible objetivo de los atacantes que utilizan este malware es el fraude de VoIP. Dado que los atacantes obtienen información sobre la actividad de los conmutadores de software de VoIP y sus puertas de enlace, esta información podría usarse para realizar Fraude Internacional de Revenue Share (IRSF) ”, concluyeron los investigadores.
