Phần mềm độc hại mới được tìm ra trong HĐH Linux gây sự cố đánh cắp thông tin cuộc gọi từ Hệ thống VoIP SoftsSwitch

Giang

943

06-10-2020

TheoBizfly Cloud tìm hiểu các nhà nghiên cứu an ninh mạng toàn cầu đã phát hiện ra một loại phần mềm độc hại hoàn toàn mới, xuất hiện trong hệ điều hành Linux có tên là "CDRThief", nhắm mục tiêu vào các chuyển mạch qua IP (VoIP) trong một nỗ lực nhằm đánh cắp siêu dữ liệu trong các cuộc gọi thoại.

Những nhà nghiên cứu của công ty ESET (một công ty bảo mật có trụ sở ở Bratislava, Slovakia) cho biết trong một thông báo được đăng tải vào thứ 5 vừa rồi : "Mục tiêu chính của phần mềm độc hại là lấy ra nhiều dữ liệu riêng tư khác nhau từ một công cụ chuyển mạch bị xâm nhập, bao gồm cả bản ghi chi tiết cuộc gọi (CDR)".

"Phần mềm độc hại này sẽ truy vấn dữ liệu trong MySQL Database nội bộ được sử dụng bởi Softswitch để lấy cắp các siêu dữ liệu. Do đó có thể kết luận rằng những tin tặc này có sự hiểu biết tốt về kiến trúc bên trong của "platform" được nhắm mục tiêu."

Softswitch (viết tắt của phần mềm chuyển mạch) thường là các máy chủ VoIP cho phép các mạng viễn thông cung cấp quản lý lưu lượng thoại, fax, dữ liệu và video cũng như định tuyến cuộc gọi.

Trong báo cáo nghiên cứu của ESET, các kỹ sư của công ty này cho rằng CDRThief nhắm mục tiêu đến một nền tảng Linux VoIP cụ thể, đó là phiên bản VOS2009 và 3000 Softswitch, phần mềm của công ty Linknat bên phía Trung Quốc và đã mã hóa các chức năng độc hại bên trong phần mềm để tránh bị nghiên cứu.

Phần mềm độc hại bắt đầu bằng cách nỗ lực định vị các tệp cấu hình Softswitch từ danh sách các thư mục tệp, với mục tiêu truy cập thông tin đăng nhập cơ sở dữ liệu MySQL, sau đó giải mã để truy vấn cơ sở dữ liệu.

Các nhà nghiên cứu của ESET cho biết những kẻ tấn công sẽ phải thiết kế ngược các mã nhị phân của platform để phân tích quá trình mã hóa và lấy khóa AES để giải mã mật khẩu cơ sở dữ liệu. Điều này cho thấy sự hiểu biết cặn kẽ của Hacker về kiến trúc VoIP.

Bên cạnh việc thu thập thông tin cơ bản về hệ thống Linknat, CDRThief còn lọc thông tin chi tiết của cơ sở dữ liệu (tên người dùng, mật khẩu được mã hóa, địa chỉ IP) và thực hiện các truy vấn SQL trực tiếp đến cơ sở dữ liệu MySQL để nắm bắt thông tin liên quan đến các sự kiện hệ thống, cổng VoIP và siêu dữ liệu cuộc gọi .

"Dữ liệu được lọc từ các bảng e_syslog, e_gatewaymapping và e_cdr được nén và sau đó được mã hóa bằng khóa công khai RSA-1024, được mã hóa cứng trước khi lọc. Do đó, chỉ có tác giả hoặc người điều hành phần mềm độc hại mới có thể giải mã dữ liệu đã lọc", ESET cho biết.

Tính đến thời điểm hiện tại, phần mềm độc hại này dường như chỉ tập trung vào việc thu thập dữ liệu từ cơ sở dữ liệu, nhưng ESET cảnh báo rằng Hacker có thể dễ dàng thay đổi mục đích, chúng có thể quyết định giới thiệu các tính năng ăn cắp dữ liệu ở mức độ cao hơn trong phiên bản update.

Chỉ có thể kết luận rằng, mục tiêu cuối cùng của các tác giả phần mềm độc hại này hoặc thông tin về tác nhân đe dọa đằng sau vẫn chưa rõ ràng.

Anton Cherepanov- một nhà nghiên cứu phần mềm độc hại cấp cao của ESET cho biết: "Tại thời điểm đăng tải bài viết, chúng tôi vẫn chưa biết phần mềm độc hại được triển khai như thế nào trên các thiết bị bị xâm nhập. "Chúng tôi suy đoán rằng những kẻ tấn công có thể có được quyền truy cập vào thiết bị bằng cách sử dụng một cuộc tấn công Brute-force(kiểu tấn công được dùng cho tất cả các loại mã hóa, hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu) hoặc thông qua biện pháp khai thác lỗ hổng phần mềm."

"Chúng tôi đang có nghi ngờ rằng phần mềm độc hại này được sử dụng cho mục đích gián hoạt động điệp mạng. Một mục tiêu khác cũng có thể được kể đến đó là gian lận VoIP. Một khi Hacker có được thông tin hoạt động của các thiết bị chuyển mạch VoIP và các cổng(Port) của chúng, thông tin này có thể được sử dụng để thực hiện gian lận về các Chuẩn Mực Báo Cáo Tài Chính Quốc Tế (IRSF). "

Theo Thehackernews.com

>> Có thể bạn quan tâm:  Lời cảnh báo từ Microsoft: Giải pháp cho Windows 10 để ngăn chặn Lenovo ThinkPad dính BSODs