Вредонос CDRThief перехватывает данные программных VoIP-коммутаторов

Специалисты словацкой компании ESET обнаружили редкий образец вредоносного ПО для Linux, который атакует исключительно программные VoIP-коммутаторы Linknat VOS2009 и VOS3000.

Исследователи пока не смогли выяснить, кто именно является разработчиком вредоносного ПО, получившего название CDRThief, и с какой именно целью оно было создано. Не исключено, что CDRThief разрабатывался для использования в кампаниях по кибершпионажу или для IRSF-атак. В любом случае, функционал вредоноса говорит о том, что его автор хорошо знаком со сферой VoIP.

Особенность CDRThief заключается в том, что вредоносная программа атакует только программные VoIP-коммутаторы, работающие на платформе Linux, в частности Linknat VOS2009 и VOS3000.

В настоящее время неизвестно, как вредонос заражает устройства. Как предполагают эксперты, компрометация может осуществляться с помощью брутфорс-атак или путем эксплуатации уязвимостей.

После заражения Linux-сервера, на котором работает Linknat VOS2009 или VOS3000, CDRThief извлекает из конфигурационный файлов Linknat учетные данные встроенной базы данных MySQL, где хранятся данные о звонках. Хотя пароль в конфигурационной файле хранится в зашифрованном виде, вредоносная программа способна расшифровать его. Затем CDRThief подключается к БД MySQL и инициирует SQL-запросы для сбора данных о телефонных разговорах, далее эта информация отправляется на удаленный сервер.

IRSF (International Revenue Share Fraud) - телефонное мошенничество, связанное с использованием технических средств для осуществления несанкционированных звонков на платные номера. Злоумышленники задействуют взломанные телефоны, краденые SIM-карты и скомпрометированные корпоративные АТС для осуществления вызовов на принадлежащие им или арендованные линии с тарификацией входящих соединений.