Les chercheurs en sécurité d’ESET ont découvert un nouveau logiciel malveillant qui cible spécifiquement les commutateurs logiciels de Linknat.

Fournisseur de solutions VoIP en Chine, Linknat propose des commutateurs logiciels (assurant le contrôle, la facturation et la gestion des réseaux VoIP) aux opérateurs, aux opérateurs virtuels et aux grandes organisations industrielles. La société a été créée en 2005.

ESET a publié jeudi des informations sur CDRThief, un logiciel malveillant spécialement conçu pour cibler les softswitches Linknat VOS2009 et VOS3000, qui fonctionnent sur des serveurs Linux standard. Une fois qu’il parvient à compromettre un système cible, le logiciel malveillant tente d’exfiltrer les enregistrements détaillés des appels (CDR), y compris les adresses IP, la durée des appels, les frais d’appel, etc.

Le binaire ELF du malware a été compilé à l’aide d’un compilateur Go et toutes ses chaînes d’apparence suspectes ont été chiffrées. CDRThief a été conçu pour lire les informations d’identification des fichiers de configuration des softswitches ciblés, ce qui lui permet d’accéder aux données internes stockées dans les bases de données MySQL.

Bien que le mot de passe du fichier de configuration soit chiffré, le malware parvient à le déchiffrer, ce qui montre que les attaquants ont une bonne connaissance de la plateforme ciblée. Très probablement, ils ont procédé à une ingénierie inverse des binaires de plate-forme ou ont réussi à collecter des informations sur l’algorithme de cryptage AES et la clé que Linknat utilise.

«Pour voler ces métadonnées, le malware interroge les bases de données MySQL internes utilisées par le softswitch. Ainsi, les attaquants démontrent une bonne compréhension de l’architecture interne de la plate-forme ciblée », déclare ESET.

CDRThief contient plusieurs fonctions pour la communication de commande et de contrôle (C&C), et exfiltre les données via des requêtes SQL qui sont exécutées directement dans la base de données MySQL.

Les chercheurs en sécurité d’ESET ont remarqué que le malware s’intéresse principalement à trois tables de la base de données, qui contiennent un journal des événements système, des informations sur les passerelles VoIP, …