Os pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram um tipo inteiramente novo de malware Linux apelidado de “CDRThief”, que visa softswitches de voz sobre IP (VoIP) em uma tentativa de roubar metadados de chamadas telef\u00f4nicas.<\/p>\n
<\/p>\n
“O objetivo principal do malware \u00e9 exfiltrar v\u00e1rios dados privados de um softswitch comprometido, incluindo registros de detalhes de chamadas (CDR)”, conforme os pesquisadores da ESET em uma an\u00e1lise.<\/p>\n
<\/p>\n
“Para roubar esses metadados, o malware consulta os bancos de dados MySQL internos usados pelo softswitch. Assim, os invasores demonstram um bom entendimento da arquitetura interna da plataforma alvo.”<\/p>\n
<\/p>\n
Os softswitches (abrevia\u00e7\u00e3o de switches de software) s\u00e3o geralmente servidores VoIP que permitem que as redes de telecomunica\u00e7\u00f5es forne\u00e7am gerenciamento de tr\u00e1fego de voz, fax, dados e v\u00eddeo e roteamento de chamadas.<\/p>\n
<\/p>\n
A pesquisa da ESET revelou que o CDRThief tinha como alvo uma plataforma Linux VoIP espec\u00edfica, ou seja, os softswitches VOS2009 e 3000 da empresa chinesa Linknat, e teve sua funcionalidade maliciosa criptografada para evitar a an\u00e1lise est\u00e1tica.<\/p>\n
<\/p>\n
O malware come\u00e7a tentando localizar os arquivos de configura\u00e7\u00e3o do Softswitch em uma lista de diret\u00f3rios predeterminados com o objetivo de acessar as credenciais do banco de dados MySQL, que s\u00e3o ent\u00e3o descriptografadas para consultar o banco de dados.<\/p>\n
<\/p>\n
Os pesquisadores da ESET dizem que os invasores teriam que fazer engenharia reversa nos bin\u00e1rios da plataforma para analisar o processo de criptografia e recuperar a chave AES usada para descriptografar a senha do banco de dados, sugerindo o “conhecimento profundo” dos autores da arquitetura VoIP.<\/p>\n
<\/p>\n
Al\u00e9m de coletar informa\u00e7\u00f5es b\u00e1sicas sobre o sistema Linknat comprometido, o CDRThief extrai detalhes do banco de dados (nome de usu\u00e1rio, senha criptografada, endere\u00e7o IP) e executa consultas SQL diretamente no banco de dados MySQL para capturar informa\u00e7\u00f5es relativas a eventos do sistema, gateways VoIP e metadados de chamadas.<\/p>\n
<\/p>\n
“Os dados a serem exfiltrados das tabelas e_syslog, e_gatewaymapping e e_cdr s\u00e3o compactados e criptografados com uma chave p\u00fablica RSA-1024 codificada antes da exfiltra\u00e7\u00e3o. Assim, apenas os autores ou operadores de malware podem descriptografar os dados exfiltrados”, disse a ESET.<\/p>\n
<\/p>\n
Em sua forma atual, o malware parece estar focado apenas na coleta de dados do banco de dados, mas a ESET avisa que pode mudar facilmente se os invasores decidirem introduzir recursos de roubo de documentos mais avan\u00e7ados em uma vers\u00e3o atualizada.<\/p>\n
<\/p>\n
Dito isso, o objetivo final dos autores do malware ou informa\u00e7\u00f5es sobre o agente da amea\u00e7a por tr\u00e1s da opera\u00e7\u00e3o ainda permanece obscuro. “No momento em que este artigo foi escrito, n\u00e3o sabemos como o malware \u00e9 implantado em dispositivos comprometidos”, disse Anton Cherepanov da ESET.<\/p>\n
“Especulamos que os invasores podem obter acesso ao dispositivo usando um ataque de for\u00e7a bruta ou explorando uma vulnerabilidade.”<\/p>\n <\/p>\n “Parece razo\u00e1vel supor que o malware seja usado para espionagem cibern\u00e9tica. Outro poss\u00edvel objetivo dos invasores que usam esse malware \u00e9 a fraude de VoIP. Como os invasores obt\u00eam informa\u00e7\u00f5es sobre a atividade de softswitches de VoIP e seus gateways, essas informa\u00e7\u00f5es podem ser usadas para realizar o compartilhamento de receita internacional de Fraude (IRSF).”<\/p>\n <\/p>\n<\/code><\/p>\n