Des chercheurs en cybersécurité ont découvert un tout nouveau type de malware Linux appelé «CDRThief» qui cible les commutateurs logiciels de voix sur IP (VoIP) dans le but de voler les métadonnées des appels téléphoniques.
«L’objectif principal du logiciel malveillant est d’exfiltrer diverses données privées à partir d’un commutateur logiciel compromis, y compris les enregistrements détaillés des appels (CDR) », Ont déclaré des chercheurs d’ESET dans un jeudi une analyse.
« Pour voler ces métadonnées, le malware interroge les bases de données MySQL internes utilisées par le softswitch. Ainsi, les attaquants démontrent une bonne compréhension de l’architecture interne de la plateforme ciblée. »
Softswitches (abréviation de commutateurs logiciels) sont généralement des serveurs VoIP qui permettent aux réseaux de télécommunication de gérer le trafic voix, fax, données et vidéo et le routage des appels.
Les recherches d’ESET ont révélé que CDRThief ciblait une plate-forme VoIP Linux spécifique, à savoir les commutateurs logiciels VOS2009 et 3000 de la société chinoise Linknat, et avait sa fonctionnalité malveillante cryptée pour échapper à l’analyse statique.
Le logiciel malveillant commence par tenter de localiser les fichiers de configuration de Softswitch à partir d’une liste de répertoires prédéterminés dans le but d’accéder aux informations d’identification de la base de données MySQL, qui sont ensuite déchiffrées pour interroger la base de données.
Les chercheurs d’ESET affirment que les attaquants auraient dû procéder à une ingénierie inverse des binaires de la plate-forme pour analyser le processus de cryptage et récupérer la clé AES utilisée pour décrypter le mot de passe de la base de données, suggérant ainsi la « connaissance approfondie » des auteurs de l’architecture VoIP.
En plus de collecter des informations de base sur le système Linknat compromis, CDRThief exfiltre les détails de la base de données (nom d’utilisateur, mot de passe crypté, adresse IP) et exécute des requêtes SQL directement dans la base de données MySQL afin de capturer des informations relatives aux événements système, aux passerelles VoIP et aux métadonnées d’appel .
«Les données à exfiltrer des tables e_syslog, e_gatewaymapping et e_cdr sont compressées puis chiffrées avec une clé publique RSA-1024 codée en dur avant l’exfiltration. Ainsi, seuls les auteurs ou opérateurs de logiciels malveillants peuvent déchiffrer les données exfiltrées», a déclaré ESET.
Dans sa forme actuelle, le logiciel malveillant semble se concentrer uniquement sur la collecte de données à partir de la base de données, mais ESET avertit que cela pourrait facilement changer si les attaquants décidaient d’introduire des fonctionnalités de vol de documents plus avancées dans une version mise à jour.
Cela dit, l’objectif ultime des auteurs de logiciels malveillants ou des informations sur l’acteur de la menace derrière l’opération reste encore flou.
« Au moment de la rédaction de cet article, nous ne savons pas comment le logiciel malveillant est déployé sur les appareils compromis », a déclaré Anton Cherepanov d’ESET. « Nous pensons que les attaquants pourraient obtenir l’accès à l’appareil en utilisant une attaque par force brute ou en exploitant une vulnérabilité. »
« Il semble raisonnable de supposer que le logiciel malveillant est utilisé pour le cyberespionnage. Un autre objectif possible pour les attaquants utilisant ce logiciel malveillant est la fraude VoIP. Étant donné que les attaquants obtiennent des informations sur l’activité des commutateurs logiciels VoIP et de leurs passerelles, ces informations pourraient être utilisées pour effectuer un partage international des revenus. Fraude (IRSF). «
