La empresa ESET, ha publicado un informe en el cual analizan un malware que afecta a plataformas VoIP que utilizan switches por software softswitch. Un Softswitches (software switches) es un elemento clave en una red VoIP que actúa como conmutador de software y proporciona control sobre las llamadas VoIP. El malware está orientado para afectar a los softswitches de Linknat VOS2009 y VOS3000.
El nombre del malware viene dado porque roba datos de los Call Detail Records (CDR) de los softswitches, que son los registros donde se almacenan todos los datos de las llamadas realizadas: hora de las llamadas, duraciones, IPs, etc. Estos robos se realizan a través de consultas a la base de datos interna de estos softwitch.
Para realizar esto, el malware obtiene los datos de configuración de los archivos más comunes, que suelen estar en una de estas rutas:
- /usr/kunshi/vos2009/server/etc/server_db_config.xml
- /usr/kunshi/vos3000/server/etc/server_db_config.xml
- /home/kunshi/vos2009/server/etc/server_db_config.xm
- /home/kunshi/vos3000/server/etc/server_db_config.xm
- /home/kunshi/vos2009/etc/server_db_config.xml
- /home/kunshi/vos3000/etc/server_db_config.xml
- /usr/kunshi/vos2009/server/etc/serverdbconfig.xml
- /usr/kunshi/vos3000/server/etc/serverdbconfig.xml
Se cree que los desarrolladores de este malware tienen un nivel técnico muy alto, puesto que la clave de acceso a la base de datos está cifrada y para poder descifrarla han tenido que aplicar conocimientos avanzados de ingeniería inversa.
La muestra analizada fue compilada con un compilador de Go, y aunque no modificaron los símbolos de depuración, cifraron todas las cadenas de aspecto sospechoso para dificultar su análisis. Para esto utilizaron el algoritmo de cifrado XXTEA utilizando la clave de cifrado “fhu84ygf8643” para después codificarlos en Base64.
Como dato curioso sobre el malware respecto a otros malware, es que la puerta trasera de este malware no permite la ejecución de comandos de Shell, aunque se cree que en una futura actualización este comportamiento pueda ser añadido.
También resulta curioso que este malware esté hecho para afectar a estas plataformas tan específicas sin bloquearlas, dañarlas o secuestrarlas, por lo que se sospecha que una de los principales objetivos sea el ciberespionaje o el fraude por VoIP.
Who is calling? CDRThief targets Linux VoIP softswitches
https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/
New CDRThief malware steals VoIP metadata from Linux softswitches