Neuartige Linux-Malware zielt auf VoIP-Plattformen

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: ESET
Veröffentlicht von SecuPedia-Redaktion am 15. September 2020.

Jena, 15.09.2020 – Forscher des IT-Sicherheitsanbieters ESET haben nach Angaben des Unternehmens eine bisher unbekannte Linux-Malware entdeckt, die speziell auf Voice over IP (VoIP) Softswitches ziele. Das Schadprogramm sei von den Analysten des europäischen IT-Sicherheitsherstellers CDRThief benannt worden. Die attackierten Softswitches Linknat VOS2009 und VOS 3000 stammen, so heißt es, beide von einem chinesischen Hersteller. "Softswitches sind eine Software, die VoIP-Telefongespräche verbinden und steuern. Gleichzeitig können diese Programme auch zur Abrechnung und Verwaltung von Anrufen genutzt werden. Die neuartige Linux-Malware hat es dabei genau auf sensible Informationen, einschließlich Telekommunikationsdaten, bei den kompromittierten Linknat-Versionen abgesehen", erläutert ESET. Ihre vollständige Analyse haben die Forscher auf WeLiveSecurity veröffentlicht.

„Bisher ist unklar, welches genaue Ziel die Angreifer mit CDRThief verfolgen. Da es die Hacker aber auf vertrauliche Informationen, einschließlich Anruf-Metadaten, abgesehen haben, vermuten wir Cyberspionage als Hauptverwendungszweck“, erklärt ESET Forscher Anton Tscherepanow. „Ein weiteres mögliches Ziel wäre VoIP Betrug. Da die Angreifer Informationen über VoIP Softswitches und Gateways erhalten, könnten sie diese Daten für finanzielle Betrügereien missbrauchen.“


Wie geht CDRThief vor?
Um an vertrauliche Informationen zu gelangen, durchsuche das Schadprogramm interne MySQL-Datenbanken, die von Softswitch genutzt werden. "Auf diese Weise erhalten die Angreifer einen Überblick über die interne Architektur der Zielplattform", so ESET.

Um die schädlichen Funktionen vor einer statischen Analyse zu verbergen, hätten die Entwickler von CDRThief alle verdächtig aussehenden Zeichenfolgen verschlüsselt, selbst das Entschlüsselung-Kennwort. Dennoch sei die Malware in der Lage, es zu lesen und zu entschlüsseln. "Hierdurch zeigen die Angreifer, dass sie tiefe Kenntnis über die Zielplattform besitzen. Die herausgeschleusten Daten sind ebenfalls codiert können nur von den Angreifern entschlüsselt werden", heißt es weiter. (Quelle: PM von ESET vom 15.09.2020)

Weitere technische Details über CDRThief finden sich unter: www.welivesecurity.com/deutsch/2020/09/15/malware-cdrthief-greift-linux-voip-softswitches-an/
 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)
  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer