I ricercatori di ESET hanno identificato un nuovo tipo di malware denominato “CDRThief” che prende di mira i softswitch Voice over IP (VoIP) di Linux nel tentativo di rubare i metadati delle telefonate.
Questo nuovo malware è progettato per prendere di mira una piattaforma VoIP molto specifica, utilizzata da due softswitch (switch software) prodotti in Cina. Secondo i ricercatori, i softswitch compromessi possono agevolare gli attaccanti a compiere varie azioni dannose, oltre a rubare i metadati delle chiamate, come effettuare frodi VoIP dopo aver ottenuto informazioni sulle attività dei softswitch VoIP e dei loro gateway.
“Sulla base della funzionalità descritta, possiamo dire che l’obiettivo principale del malware sia la raccolta di dati dal database, inclusi quelli di dettaglio delle chiamate (CDR) i quali contengono metadati sulle chiamate VoIP come gli indirizzi IP del chiamante e del chiamato, la durata della chiamata, l’ora di inizio della chiamata, ecc… A differenza di altre backdoor, Linux / CDRThief non supporta l’esecuzione di comandi della shell o l’esfiltrazione di file specifici dal disco del softswitch compromesso. Tuttavia, queste funzioni potrebbero essere introdotte in una versione aggiornata “, osserva ESET.
“Per rubare questi metadati, il malware interroga i database MySQL interni utilizzati dal softswitch. Pertanto, gli aggressori dimostrano una buona conoscenza dell’architettura interna della piattaforma mirata”, hanno spiegato i ricercatori nell’analisi.
Ancora non è noto come il malware venga distribuito sui dispositivi compromessi. Si ipotizza che gli aggressori possano ottenere l’accesso al dispositivo utilizzando un attacco brute-force o sfruttando una vulnerabilità. Tali vulnerabilità in VOS2009 / VOS3000 sono state segnalate pubblicamente in passato”, si legge nell’analisi.
“Ciò suggerisce che il file binario dannoso potrebbe in qualche modo essere inserito in una catena di avvio regolare della piattaforma per ottenere la persistenza e possibilmente mascherarsi come un componente del software Linknat softswitch”, osserva ESET.
https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/