Вредонос CDRThief перехватывает данные программных VoIP-коммутаторов — yo-robot.ru

ESET CDRThief Linknat Linux программный коммутатор хищение данных VoIP

Особенность CDRThief заключается в том, что вредонос атакует только программные VoIP-коммутаторы Linknat VOS2009 и VOS3000.

Специалисты словацкой компании ESET обнаружили редкий образец вредоносного ПО для Linux, который атакует исключительно программные VoIP-коммутаторы Linknat VOS2009 и VOS3000.

Исследователи пока не смогли выяснить, кто именно является разработчиком вредоносного ПО, получившего название CDRThief, и с какой именно целью оно было создано. Не исключено, что CDRThief разрабатывался для использования в кампаниях по кибершпионажу или для IRSF-атак. В любом случае, функционал вредоноса говорит о том, что его автор хорошо знаком со сферой VoIP.

Особенность CDRThief заключается в том, что вредоносная программа атакует только программные VoIP-коммутаторы, работающие на платформе Linux, в частности Linknat VOS2009 и VOS3000.

В настоящее время неизвестно, как вредонос заражает устройства. Как предполагают эксперты, компрометация может осуществляться с помощью брутфорс-атак или путем эксплуатации уязвимостей.

После заражения Linux-сервера, на котором работает Linknat VOS2009 или VOS3000, CDRThief извлекает из конфигурационный файлов Linknat учетные данные встроенной базы данных MySQL, где хранятся данные о звонках. Хотя пароль в конфигурационной файле хранится в зашифрованном виде, вредоносная программа способна расшифровать его. Затем CDRThief подключается к БД MySQL и инициирует SQL-запросы для сбора данных о телефонных разговорах, далее эта информация отправляется на удаленный сервер.

IRSF (International Revenue Share Fraud) — телефонное мошенничество, связанное с использованием технических средств для осуществления несанкционированных звонков на платные номера. Злоумышленники задействуют взломанные телефоны, краденые SIM-карты и скомпрометированные корпоративные АТС для осуществления вызовов на принадлежащие им или арендованные линии с тарификацией входящих соединений.

Источник: securitylab.ru

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.