محققان امنیت سایبری نوع جدیدی از بدافزار لینوکس را با نام "CDRThief" کشف کردهاند که در تلاش برای سرقت تماسهای تلفنی، سوئیچهای صوتی از طریق VoIP)IP) را هدف قرار می دهد.
بر اساس تجزیه و تحلیل محققان: هدف اصلی بدافزار، نفوذ به دادههای مختلف خصوصی از سوی سوئیچ نرم افزاری آسیب دیده، از جمله سوابق جزئیات تماس (CDR) است.
برای سرقت این دادهها، بدافزار از پایگاه دادههای MySQL داخلی استفاده شده توسط softswitch استفاده میکند. بنابراین، مهاجمان درک خوبی از معماری داخلی سیستم عامل مورد نظر را نشان می دهند.
softswitchها (سوئیچهای نرم افزاری) به طور کلی سرورهای VoIP هستند که به شبکههای مخابراتی امکان مدیریت صدا، نمابر، ترافیک داده و ویدئو و مسیریابی تماس را میدهند.
تحقیقات کارشناسان نشان داد که CDRThief یک پلت فرم خاص VoIP لینوکس است و عملکرد مخرب آن رمزگذاری دادهها است تا از تجزیه و تحلیل استاتیک جلوگیری کند.
این بدافزار با تلاش برای یافتن فایلهای پیکربندی Softswitch از لیست فهرستهای از پیش تعیین شده با هدف دستیابی به اعتبارات پایگاه داده MySQL شروع به کار میکند، سپس رمزگشایی میشود تا پایگاه داده را جستجو کند.
محققان میگویند که مهاجمان مجبور بودند برای تجزیه و تحلیل روند رمزگذاری و بازیابی کلید AES که برای رمزگشایی رمزعبور پایگاه داده استفاده می شود، باینرهای سیستم عامل را معکوس کنند و این امر دانش عمیق نویسندگان در مورد معماری VoIP را نشان میدهد.
DRThief علاوه بر جستجوی اطلاعات اساسی در مورد سیستم Linknat که به خطر افتاده است، جزئیات پایگاه داده مانند نام کاربری، رمزعبور رمزگذاری شده، آدرس IP را مخدوش میکند و پرس و جوهای SQL را مستقیماً در پایگاه داده MySQL اجرا میکند تا اطلاعات مربوط به رویدادهای سیستم، ورودی و خروجیهای VoIP و دادههای تماس را ضبط کند.
محققان میگویند: دادههایی که رد و بدل میشوند، ابتدا فشرده می گردند سپس با کلید عمومی مشخص شده، کدگذاری و رمزگذاری میشوند. بنابراین، فقط نویسندگان بدافزار یا اپراتورها میتوانند دادههای مدنظر را رمزگشایی کنند.
به نظر میرسد که بدافزار در شکل فعلی خود فقط بر روی جمع آوری دادهها از پایگاه داده متمرکز شده باشد، اما کارشناسان هشدار میدهند که در صورت حمله مهاجمان به ویژگیهای پیشرفتهتر، سرقت اسناد در نسخه به روز شده، امکان دارد.
گفته شده است، هدف نهایی نویسندگان بدافزار یا اطلاعات مربوط به عامل تهدید در پشت این عملیات هنوز نامشخص است.
به گفته کارشناسان: هنوز مشخص نشده است که بدافزار چگونه بر روی دستگاههای در معرض خطر نصب و فعال میشود. اما حدس این است که مهاجمان ممکن است با استفاده از حمله بی رحمانه exploit یا سوءاستفاده از یک آسیب پذیری، به دستگاه دسترسی پیدا کنند.
منطقی به نظر میرسد که فرض کنیم این بدافزار برای جاسوسی در فضای مجازی مورد استفاده قرار گرفته باشد. هدف احتمالی دیگری که مهاجمان از این بدافزار استفاده میکنند ، کلاهبرداری VoIP است. از آنجا که مهاجمان اطلاعاتی درباره فعالیت سافت ویچهای VoIP و دروازههای آنها به دست میآورند، میتوانند از این اطلاعات برای انجام کلاهبرداریهای بین المللی استفاده نمایند.
منبع
https://thehackernews.com
