Se descubrió que el malware de Linux estaba robando metadatos de llamadas VoIP de Softswitch

Investigadores en Ciberseguridad de ESET encontré un nuevo Linux Malware, que roba datos de llamadas de los sistemas VoIP Softswitch. Aunque los investigadores no descubrieron cómo es capaz de infectarlos y recopilar solo metadatos de las llamadas, advirtieron que podría desarrollarse más tarde para robar documentos u otros datos confidenciales.

Malware que roba datos de softswitches VoIP basados ​​en Linux

Softswitch de VoIP es un sistema que es un sistema de gestión de telecomunicaciones que gestiona llamadas como voz, video, enrutamiento de llamadas de fax, etc. Dado que funcionan principalmente en servidores basados ​​en Linux, el malware detectado por investigadores en ESET, la empresa de ciberseguridad se dirige específicamente a estos softswitches.

Dicen que Softswitches basados ​​en servidores Linux y propiedad de un proveedor chino llamado Linknat están siendo atacados. Modelos Linknat VOS2009 y 3000 Los conmutadores suaves son el objetivo de los atacantes de alguna manera e instalan su malware. Los investigadores llamaron a esto CDRThief ya que roba los registros de detalles de llamadas de un objetivo.

Los investigadores dicen que los autores de este malware son lo suficientemente expertos como para comprender la arquitectura VoIP completa, por lo que hacen ingeniería inversa para aprender el proceso de cifrado y recuperar la clave AES y descifrar la base de datos MySQL, donde se almacenan todos los detalles de la llamada.

Empiezan por buscar los archivos de configuración de Softswitch de destino en los directorios, para acceder a la base de datos MySQL. Los detalles que el malware roba según los investigadores son el identificador de llamadas (llamante y receptor), su dirección IP, duración de la llamada, inicio y finalización de la llamada. Estos metadatos pueden echar un vistazo a la conexión del objetivo con una persona en particular.

Los autores de este CDRThief también fueron lo suficientemente inteligentes como para cifrar sus datos robados de la base de datos MySQL en su forma, evitando así la detección de escaneos de malware estáticos y también permitiendo que solo los autores reales del malware vean los datos.

Aunque aún no se conoce el invento real y cómo están atacando a estos Softswitches, los investigadores advierten que pueden desarrollarse para robar datos más sensibles en el futuro.