行业新闻与博客

ESET 研究人员发现了一种新型的恶意软件，该恶意软件针对 IP 语音（VoIP）软交换，有可能用于网络间谍活动。

该恶意软件名为 CDRThief，旨在攻击由两个中国制造的名为 Linknat VOS2009 和 VOS3000 的软交换机使用的特定 VoIP 平台，这两种软交换机是在标准 Linux 服务器上运行的基于软件的解决方案。ESET 认为，此恶意软件的主要目的是从受感染的软交换中窃取各种私人数据。这包括呼叫数据记录，其中包含有关 VoIP 呼叫的敏感元数据，例如呼叫者和呼叫接收者的 IP 地址，呼叫开始时间和呼叫持续时间。

这家网络安全公司补充说，由于几乎看不到全新的 Linux 恶意软件，因此引起了他们的注意。

CDRThief 试图通过查询软交换所使用的内部 MySQL 数据库来窃取元数据，其运行方式表明“对目标平台的内部架构有充分的了解”。ESET 发现，该恶意软件中任何看起来可疑的字符串均由作者加密，以便从基本静态分析中隐藏恶意功能。此外，即使配置文件中的密码已加密，CDRThief 恶意软件仍能够读取和解密它。

ESET 还透露，该恶意软件可以部署到磁盘上任何文件下的任何位置，并且一旦开始运行，便尝试启动 Linknat 平台上存在的合法文件。ESET 研究人员 Anton Cherepanov 发现了 Linux 恶意软件，他说：“这表明该恶意二进制文件可能会以某种方式插入到平台的常规启动链中，以实现持久性，并可能伪装成 Linknat 软交换软件的一部分。”

他补充说：“很难知道使用此恶意软件的攻击者的最终目标。但是，由于它泄漏了包括呼叫元数据在内的敏感信息，因此可以合理地假设该恶意软件用于网络间谍活动。使用此恶意软件的攻击者的另一个可能目标是 VoIP 欺诈。由于攻击者获得了有关 VoIP 软交换及其网关活动的信息，因此该信息可用于进行国际收益分成欺诈。”

本文由机器译制