بدافزار CDRThief لینوکس، جزئیات تماس VoIP را سرقت می‌کند

محققان امنیت سایبری نوع جدیدی از بدافزار لینوکس را با نام "CDRThief" کشف کرده‌اند که در تلاش برای سرقت تماس‌های تلفنی، سوئیچ‌های صوتی از طریق VoIP)IP) را هدف قرار می دهد.

بر اساس تجزیه و تحلیل محققان: هدف اصلی بدافزار، نفوذ به داده‌های مختلف خصوصی از سوی سوئیچ نرم افزاری آسیب دیده، از جمله سوابق جزئیات تماس (CDR) است.

برای سرقت این داده‌ها، بدافزار از پایگاه داده‌های MySQL داخلی استفاده شده توسط softswitch استفاده می‌کند. بنابراین، مهاجمان درک خوبی از معماری داخلی سیستم عامل مورد نظر را نشان می دهند.

softswitchها (سوئیچ‌های نرم افزاری) به طور کلی سرورهای VoIP هستند که به شبکه‌های مخابراتی امکان مدیریت صدا، نمابر، ترافیک داده و ویدئو و مسیریابی تماس را می‌دهند.

​

 

تحقیقات کارشناسان نشان داد که CDRThief یک پلت فرم خاص VoIP لینوکس است و عملکرد مخرب آن رمزگذاری داده‌ها است تا از تجزیه و تحلیل استاتیک جلوگیری کند.

این بدافزار با تلاش برای یافتن فایل‌های پیکربندی Softswitch از لیست فهرست‌های از پیش تعیین شده با هدف دستیابی به اعتبارات پایگاه داده MySQL شروع به کار می‌کند، سپس رمزگشایی می‌شود تا پایگاه داده را جستجو کند.

محققان می‌گویند که مهاجمان مجبور بودند برای تجزیه و تحلیل روند رمزگذاری و بازیابی کلید AES که برای رمزگشایی رمزعبور پایگاه داده استفاده می شود، باینرهای سیستم عامل را معکوس کنند و این امر دانش عمیق نویسندگان در مورد معماری VoIP را نشان می‌دهد.

 DRThief  علاوه بر جستجوی اطلاعات اساسی در مورد سیستم Linknat که به خطر افتاده است، جزئیات پایگاه داده مانند نام کاربری، رمزعبور رمزگذاری شده، آدرس IP را مخدوش می‌کند و پرس و جوهای SQL را مستقیماً در پایگاه داده MySQL اجرا می‌کند تا اطلاعات مربوط به رویدادهای سیستم، ورودی و خروجی‌های VoIP و داده‎‌های تماس را ضبط کند.

محققان می‌گویند: داده‌هایی که رد و بدل می‌شوند، ابتدا فشرده می گردند سپس با کلید عمومی  مشخص شده، کدگذاری و رمزگذاری می‌شوند. بنابراین، فقط نویسندگان بدافزار یا اپراتورها می‌توانند داده‌های مدنظر را رمزگشایی کنند.

​

به نظر می‌رسد که بدافزار در شکل فعلی خود فقط بر روی جمع آوری داده‌ها از پایگاه داده متمرکز شده باشد، اما کارشناسان هشدار می‌دهند که در صورت حمله مهاجمان به ویژگی‌های پیشرفته‌تر، سرقت اسناد در نسخه به روز شده، امکان دارد.

گفته شده است، هدف نهایی نویسندگان بدافزار یا اطلاعات مربوط به عامل تهدید در پشت این عملیات هنوز نامشخص است.

به گفته کارشناسان: هنوز مشخص نشده است که بدافزار چگونه بر روی دستگاه‌های در معرض خطر نصب و فعال می‌شود. اما حدس این است که مهاجمان ممکن است با استفاده از حمله بی رحمانه exploit یا سوءاستفاده از یک آسیب پذیری، به دستگاه دسترسی پیدا کنند.

منطقی به نظر می‌رسد که فرض کنیم این بدافزار برای جاسوسی در فضای مجازی مورد استفاده قرار گرفته باشد. هدف احتمالی دیگری که مهاجمان از این بدافزار استفاده می‌کنند ، کلاهبرداری VoIP است. از آن‌جا که مهاجمان اطلاعاتی درباره فعالیت سافت ویچ‌های VoIP و دروازه‌های آن‌ها به دست می‌آورند، می‌توانند از این اطلاعات برای انجام کلاهبرداری‌های بین المللی استفاده نمایند.

 

منبع

https:‎//thehackernews.com