Die Sicherheitsexperten von ESET haben eine neue Linux-Malware festgestellt, die sie CDRThief genannt haben. Diese zielt auf eine sehr spezifische (Voice over IP) VoIP-Plattform ab, die von zwei in China hergestellten Softswitches (Software-Switches) verwendet wird: Linknat VOS2009 und VOS3000. Ein Softswitch ist ein Kernelement eines VoIP-Netzwerks, es übernimmt Anrufsteuerung, Abrechnung und Verwaltung, sie sind rein softwarebasierte Lösungen, die auf Standard-Linux-Servern ausgeführt werden.
Das Hauptziel der Malware besteht darin, verschiedene private Daten von einem kompromittierten Softswitch zu filtern, einschließlich den Verbindungsdatensätzen, den sogenannten Call Detail Records (CDR). CDRs enthalten Metadaten zu VoIP-Anrufen, wie die IP-Adressen von Anrufer- und Angerufenem, Startzeit des Anrufs, Anrufdauer, Anrufgebühr usw.
Um diese Metadaten zu stehlen, fragt die Malware interne MySQL-Datenbanken ab, die vom Softswitch verwendet werden. Die Angreifer verfügen also über ein gutes Verständnis der internen Architektur der Zielplattform.
ESET hat CDRThief in einem Malware-Sample-Feed entdeckt. Da völlig neue Linux-Malware eine Seltenheit ist, hat sie Aufmerksamkeit erregt. Noch interessanter wurde es, als sich herausstellte, dass diese Malware auf eine spezifische Linux-VoIP-Plattform abzielt. Ihre ELF-Binärdatei wurde mit dem Go-Compiler mit unveränderten Debug-Symbolen erstellt, was für die Analyse immer hilfreich ist.
Um böswillige Funktionen vor einer grundlegenden statischen Analyse zu verbergen, haben die Autoren alle verdächtig aussehenden Zeichenfolgen mit XXTEA und dem Schlüssel fhu84ygf8643 verschlüsselt und anschließend mit base64 encodiert.
Interessanterweise wird das Passwort aus der Konfigurationsdatei verschlüsselt gespeichert. Die Linux/CDRThief-Malware kann sie jedoch weiterhin lesen und entschlüsseln. Somit verfügen die Angreifer über detailliertes Wissen zur Zielplattform, denn der verwendete Algorithmus und die verwendeten Verschlüsselungsschlüssel sind, soweit wir das beurteilen können, nicht dokumentiert. Die Fotscher schließen daraus, dass die Angreifer Plattform-Binärdateien nachkonstruiert haben oder auf andere Weise an Informationen zum AES-Verschlüsselungsalgorithmus und den im Linknat-Code verwendeten Schlüsseln erhalten haben.
Es ist schwer, das tatsächliche Ziel der Angreifer zu erkennen, die diese Malware verwenden. Da diese Malware jedoch vertrauliche Informationen, einschließlich Anrufmetadaten, herausfiltert, kann davon ausgegangen werden, dass die Malware zur Cyberspionage verwendet wird. Ein weiteres mögliches Ziel für Angreifer, die diese Malware verwenden, kann VoIP-Betrug sein. Da die Angreifer Informationen über die Aktivität von VoIP-Softswitches und deren Gateways erhalten, können diese Informationen zur Durchführung von International Revenue Share Fraud (IRSF), einem Telefongebührenbetrug, verwendet werden.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…