Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредонос CDRThief перехватывает данные программных VoIP-коммутаторов

11/09/20

hack61-Sep-11-2020-11-13-06-62-AMСпециалисты словацкой компании ESET обнаружили редкий образец вредоносного ПО для Linux, который атакует исключительно программные VoIP-коммутаторы Linknat VOS2009 и VOS3000.

Исследователи пока не смогли выяснить, кто именно является разработчиком вредоносного ПО, получившего название CDRThief, и с какой именно целью оно было создано. Не исключено, что CDRThief разрабатывался для использования в кампаниях по кибершпионажу или для IRSF-атак. В любом случае, функционал вредоноса говорит о том, что его автор хорошо знаком со сферой VoIP.

Особенность CDRThief заключается в том, что вредоносная программа атакует только программные VoIP-коммутаторы, работающие на платформе Linux, в частности Linknat VOS2009 и VOS3000.

В настоящее время неизвестно, как вредонос заражает устройства. Как предполагают эксперты, компрометация может осуществляться с помощью брутфорс-атак или путем эксплуатации уязвимостей.

После заражения Linux-сервера, на котором работает Linknat VOS2009 или VOS3000, CDRThief извлекает из конфигурационный файлов Linknat учетные данные встроенной базы данных MySQL, где хранятся данные о звонках. Хотя пароль в конфигурационной файле хранится в зашифрованном виде, вредоносная программа способна расшифровать его. Затем CDRThief подключается к БД MySQL и инициирует SQL-запросы для сбора данных о телефонных разговорах, далее эта информация отправляется на удаленный сервер.

IRSF (International Revenue Share Fraud) - телефонное мошенничество, связанное с использованием технических средств для осуществления несанкционированных звонков на платные номера. Злоумышленники задействуют взломанные телефоны, краденые SIM-карты и скомпрометированные корпоративные АТС для осуществления вызовов на принадлежащие им или арендованные линии с тарификацией входящих соединений.

Темы:LinuxESETпароли
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...