حمله بدافزار CDRThief به سوئیچ های نرم افزاری VOIP

محققان امنیتی شرکت ESET به ‌تازگی اعلام کرده ‌اند که یک قطعه بسیار نادر از بدافزار لینوکسی را یافته ‌اند که سوئیچ ‌های تلفنی VOIP را با هدف سرقت متادیتای تماس مورد حمله قرار می دهد.

در حال حاضر، محققان گفته اند که صرفاً قسمتی از بدافزار را شناسایی کرده و رفتار آن را تحلیل کرده اند؛ اما هنوز مطمئن نیستند که چه کسی و با چه هدفی آن را توسعه داده است.

نظریه‌ های مطرح ‌شده نشان می دهند که این بدافزار با نام CDRThief، می تواند برای جاسوسی سایبری یا نوعی از کلاهبرداری تلفنی که با عنوان کلاه برداری تسهیم درامد بین المللی ( International Revenue Share Fraud) شناخته ‌شده است، مورد استفاده قرار بگیرد.

CDRThief چگونه کار می‌کند؟

صرف نظر از نتیجه نهایی، جمع ‌بندی تحقیقات گروه ESET نشان می دهد که بدافزار CDRThief توسط یک بازیگر تهدید (Threat Actor) با دانشی عمیق از VOIP صورت گرفته است.

نکته اول اینکه این بدافزار تنها 2 سوئیچ نرم افزاری VOIP که در سرورهای لینوکس در حال اجرا هستند را مورد هدف قرار می دهد. سوئیچ ‌های نرم‌ افزاری VOIP، نرم ‌افزار هایی هستند که در سرور های معمولی اجرا می شوند و برای مسیریابی نرم ‌افزاری تماس ‌ها به ‌جای استفاده از سخت ‌افزار های خاص طراحی ‌شده اند.
نکته دوم در مورد این بدافزار این است که فقط 2 سوئیچ نرم افزاری مشخص به مدل های: Linknat VOS2009 و Linknat VOS3000 را هدف قرار می دهد.

آنتون چرپانوف، یکی از اعضای شرکت ESET، در مورد این بدافزار می‌نویسد:
«در حال حاضر ما نمی دانیم که این بدافزار چگونه روی دستگاه های آلوده نصب ‌شده است.
ما حدس می زنیم که احتمالاً هکرها با حمله Brute-Force یا سوءاستفاده از یک آسیب پذیری بتوانند به این دستگاه دسترسی پیدا کنند. چنین آسیب پذیری ‌هایی درگذشته به ‌صورت عمومی از سوئیچ ‌های نرم افزاری VOS2009/VOS3000 گزارش شده است.»

اما، هنگامی که این بدافزار دسترسی به سرورهای لینوکسی که Linknat VOS2009 یا VOS3000 را اجرا می کنند دارد، می تواند فایلهای پیکربندی را جستجو کرده و یوزر پسورد لاگین در دیتابیس MySql را استخراج کند.

جالب اینجاست که پسورد فایل پیکربندی‌شده به‌صورت رمز ذخیره‌شده است.

با این حال بدافزار Linux/CDRThief، قادر به خواندن و رمزگشایی آن است.
از آنجایی که الگوریتم و کلیدهای رمزنگاری که در این بدافزار استفاده‌ شده‌ اند، به‌ طور مستند جایی ثبت ‌نشده ‌اند، لذا هکرها دانش بسیار عمیقی نسبت به این پلتفرم داشته اند. به این معنی که هکرها یا باید پلتفرم را مهندسی معکوس می کرده اند و یا باید اطلاعات مربوط به الگوریتم رمزنگاری AES و کلید مورد استفاده در کد لینکنت را به دست می آوردند.

سپس این بدافزار به دیتابیس MySQL متصل شده و کوئری های SQL را برای به دست آوردن متادیتای مربوط به تماس، اجرا می‌کند.

حمله به مخابرات، کاری سابقه دار است!

محققان ESET افزوده اند که CDRThief یک ‌قسمت بسیار محدود از بدافزار است که تنها برای دزدی متادیتای تماس VOIP استفاده می ‌شود و نه چیز دیگری. این بدافزار حداقل در این نوع، دستورات shell را اجرا نمی‌ کند و همچنین قادر به سرقت سایر فایلها نیست؛ به این معنی که سازندگان آن دقیقاً می‌ دانند که پس از نفوذ چه چیزی می ‌خواهند.

علاوه بر این، سوئیچ ‌های نرم‌ افزاری VOIP نرم‌ افزار های رایجی نیستند و معمولاً در شبکه‌ های بزرگ مخابراتی نصب می‌شوند.

در طول چند سال گذشته، حوادثی که هکرها (معمولاً هکرهای تحت حمایت دولت) مخابرات را برای سرقت اطلاعات تماس، هدف قرار داده‌ اند، افزایش ‌یافته است. نمونه هایی از این حوادث عبارت‌اند از:

عملیات Soft Cell: هکرهای چینی در 10 تا مخابرات نفوذ پیدا کرده و متادیتای تماس تلفنی را به سرقت بردند.
حادثه تلکام A1: یک منبع آگاه افشا کرد که هکرهای چینی در شبکه داخلی بزرگ‌ ترین شرکت مخابراتی اتریش نفوذ پیداکرده و به دنبال یافتن اطلاعاتی چون موقعیت مکانی، شماره تلفن و سایر اطلاعات برخی از مشتریان خصوصی A1 بوده اند.
بدافزار MessageTap: بنابر اعلام امنیتی شرکت “Fire Eye”، بدافزاری که به ‌طور خاص برای سرورهای مراکز پیام کوتاه در شبکه تلفن همراه طراحی ‌شده است، کشف شده است که می تواند داده های مربوط به ترافیک SMS را به سرقت ببرد.