Linux Malware attackiert VoIP‑Softswitches

Die Sicherheitsexperten von ESET haben eine neue Linux-Malware festgestellt, die sie CDRThief genannt haben. Diese zielt auf  eine sehr spezifische (Voice over IP) VoIP-Plattform ab, die von zwei in China hergestellten Softswitches (Software-Switches) verwendet wird: Linknat VOS2009 und VOS3000. Ein Softswitch ist ein Kernelement eines VoIP-Netzwerks, es übernimmt Anrufsteuerung, Abrechnung und Verwaltung, sie sind rein softwarebasierte Lösungen, die auf Standard-Linux-Servern ausgeführt werden.

Das Hauptziel der Malware besteht darin, verschiedene private Daten von einem kompromittierten Softswitch zu filtern, einschließlich den Verbindungsdatensätzen, den sogenannten Call Detail Records (CDR). CDRs enthalten Metadaten zu VoIP-Anrufen, wie die IP-Adressen von Anrufer- und Angerufenem, Startzeit des Anrufs, Anrufdauer, Anrufgebühr usw.

Um diese Metadaten zu stehlen, fragt die Malware interne MySQL-Datenbanken ab, die vom Softswitch verwendet werden. Die Angreifer verfügen also über ein gutes Verständnis der internen Architektur der Zielplattform.

ESET hat CDRThief in einem Malware-Sample-Feed entdeckt. Da völlig neue Linux-Malware eine Seltenheit ist, hat sie Aufmerksamkeit erregt. Noch interessanter wurde es, als sich herausstellte, dass diese Malware auf eine spezifische Linux-VoIP-Plattform abzielt. Ihre ELF-Binärdatei wurde mit dem Go-Compiler mit unveränderten Debug-Symbolen erstellt, was für die Analyse immer hilfreich ist.

Um böswillige Funktionen vor einer grundlegenden statischen Analyse zu verbergen, haben die Autoren alle verdächtig aussehenden Zeichenfolgen mit XXTEA und dem Schlüssel fhu84ygf8643 verschlüsselt und anschließend mit base64 encodiert.

Interessanterweise wird das Passwort aus der Konfigurationsdatei verschlüsselt gespeichert. Die Linux/CDRThief-Malware kann sie jedoch weiterhin lesen und entschlüsseln. Somit verfügen die Angreifer über detailliertes Wissen zur Zielplattform, denn der verwendete Algorithmus und die verwendeten Verschlüsselungsschlüssel sind, soweit wir das beurteilen können, nicht dokumentiert. Die Fotscher schließen daraus, dass die Angreifer Plattform-Binärdateien nachkonstruiert haben oder auf andere Weise an Informationen zum AES-Verschlüsselungsalgorithmus und den im Linknat-Code verwendeten Schlüsseln erhalten haben.

Es ist schwer, das tatsächliche Ziel der Angreifer zu erkennen, die diese Malware verwenden. Da diese Malware jedoch vertrauliche Informationen, einschließlich Anrufmetadaten, herausfiltert, kann davon ausgegangen werden, dass die Malware zur Cyberspionage verwendet wird. Ein weiteres mögliches Ziel für Angreifer, die diese Malware verwenden, kann VoIP-Betrug sein. Da die Angreifer Informationen über die Aktivität von VoIP-Softswitches und deren Gateways erhalten, können diese Informationen zur Durchführung von International Revenue Share Fraud (IRSF), einem Telefongebührenbetrug, verwendet werden.