0

 มัลแวร์ CDRThief ตัวใหม่จะตั้งเป้าไปที่ซอฟต์สวิทช์ VoIP เพื่อขโมยบันทึกรายละเอียดการโทร

มัลแวร์ CDRThief ตัวใหม่จะตั้งเป้าไปที่ซอฟต์สวิทช์ VoIP เพื่อขโมยบันทึกรายละเอียดการโทร


2020-09-21 16:24:11

วิจัยด้านความปลอดภัยจาก ESET บริษัท รักษาความปลอดภัยทางไซเบอร์ ค้นพบมัลแวร์ลินุกซ์ที่หายากมากซึ่งจะกำหนดเป้าหมายสวิตช์โทรศัพท์ Voice-over-IP (VoIP) ในการขโมยข้อมูลรายละเอียดของการโทร

ซึ่งเป็นเพียงการตรวจพบมัลแวร์และวิเคราะห์พฤติกรรมของมัน แต่ยังไม่แน่ใจ 100% ว่าใครเป็นผู้พัฒนาและเพื่อวัตถุประสงค์อะไร

ทฤษฎีการพิจารณารวมถึงว่ามัลแวร์ที่ชื่อ CDRThief สามารถนำมาใช้สำหรับการจารกรรมไซเบอร์หรือสำหรับประเภทของโครงการการทุจริตโทรศัพท์ที่เรียกว่า International Revenue Share Fraud (IRSF) การกำหนดราคาค่าเชื่อมต่อไปยังหมายเลขปลายทางที่มีราคาแพง


"การคาดเดาว่าผู้โจมตีอาจเข้าถึงอุปกรณ์โดยใช้การโจมตีหรือโดยการใช้ช่องโหว่ดังกล่าว อย่างไรก็ตามเมื่อมัลแวร์ตั้งหลักได้บนเซิร์ฟเวอร์ Linux ที่ใช้ Linknat VOS2009 หรือ VOS3000 มัลแวร์จะค้นหาไฟล์ configuration Linknat และแยกข้อมูลรับรองสำหรับฐานข้อมูล MySQL โดยที่ softswitch จะเก็บบันทึกรายละเอียดการโทร (CDR หรือที่เรียกว่า VoIP metadata)


"ที่น่าสนใจคือรหัสผ่านจากไฟล์configuration จะถูกจัดเก็บแบบเข้ารหัส แต่อย่างไรก็ตามมัลแวร์ Linux / CDRThief ยังคงสามารถอ่านและถอดรหัสได้ดังนั้นผู้โจมตีจึงแสดงให้เห็นถึงความรู้เชิงลึกเกี่ยวกับแพลตฟอร์มของเป้าหมายเนื่องจากอัลกอริทึมและคีย์การเข้ารหัสที่ไม่ได้รับการบันทึกไว้ดังนั้นสามารถบอกได้ว่าผู้โจมตี ต้องทำวิศวกรรมย้อนกลับไบนารีของแพลตฟอร์มหรือรับข้อมูลเกี่ยวกับอัลกอริธึมการเข้ารหัส AES และคีย์ที่ใช้ในรหัส Linknat "

จากมัลแวร์เชื่อมต่อกับฐานข้อมูล MySQL และเรียกใช้การสืบค้น SQL เพื่อรวบรวม metadata ของ CDR ซึ่งจะอัปโหลดไปยังเซิร์ฟเวอร์ระยะไกลในภายหลัง


การโจมตีโทรคมนาคมไม่ใช่เรื่องที่พบเห็นได้ยาก

นักวิจัยของ ESET กล่าวว่า CDRThief เป็นมัลแวร์ที่แคบมากสร้างขึ้นเพื่อขโมย metadata ของการโทร VoIP เท่านั้นและไม่มีอะไรอื่นมัลแวร์ไม่เรียกใช้คำสั่งเชลล์หรือค้นหาและขโมยไฟล์อื่น ๆ อย่างน้อยก็ในรูปแบบปัจจุบันซึ่งหมายความว่าผู้สร้างและผู้ที่อยู่เบื้องหลังการโจมตี CDRThief รู้ว่าพวกเขาต้องการอะไรจากการบุกรุกแต่ละครั้ง

นอกจากนี้ซอฟต์สวิทช์ VoIP ไม่ใช่ซอฟต์แวร์ประเภทปกติของคุณโดยปกติจะติดตั้งบนเครือข่ายของผู้ให้บริการโทรคมนาคมรายใหญ่


ในช่วงไม่กี่ปีที่ผ่านมาเหตุการณ์ที่แฮกเกอร์ ได้กำหนดเป้าหมายไปที่โทรคมนาคมเพื่อขโมยข้อมูลการจราจรและการโทรด้วยเสียงเพิ่มขึ้นซึ่งรวมถึง:

  • Operation Soft Cell : แฮกเกอร์ที่เชื่อมโยงกับจีนได้ละเมิดระบบโทรคมนาคม 10 เครื่องและขโมย metadata ของการโทรด้วยเสียง
  • เหตุการณ์ A1 Telekom : ผู้แจ้งเบาะแสเปิดเผยว่าแฮ็กเกอร์ชาวจีนได้ละเมิดเครือข่ายภายในของผู้ให้บริการโทรคมนาคมรายใหญ่ที่สุดของออสเตรียและสอบถามระบบภายในสำหรับ "ตำแหน่งหมายเลขโทรศัพท์และข้อมูลลูกค้าอื่น ๆ สำหรับลูกค้า A1 ส่วนตัว"
  • มัลแวร์ MessageTap : FireEye ค้นพบมัลแวร์ที่ออกแบบมาโดยเฉพาะสำหรับเซิร์ฟเวอร์ Short Message Service Center (SMSC) บนเครือข่ายของ Telco และขโมยข้อมูลเกี่ยวกับการรับส่ง SMS



แปลโดย : kirz.com

อ้างอิงจาก : zdnet.com