Neuartige Linux-Malware hat es auf VoIP-Plattformen abgesehen

15.09.2020.

Jena, 15. September 2020 – ESET Forscher haben eine bisher unbekannte Linux-Malware entdeckt, die es gezielt auf Voice over IP (VoIP) Softswitches abgesehen hat. Das Schadprogramm wurde von den Analysten des europäischen IT-Sicherheitsherstellers CDRThief benannt. Die attackierten Softswitches Linknat VOS2009 und VOS 3000 stammen beide von einem chinesischen Hersteller. Softswitches sind eine Software, die VoIP-Telefongespräche verbinden und steuern. Gleichzeitig können diese Programme auch zur Abrechnung und Verwaltung von Anrufen genutzt werden. Die neuartige Linux-Malware hat es dabei genau auf sensible Informationen, einschließlich Telekommunikationsdaten, bei den kompromittierten Linknat-Versionen abgesehen. Ihre vollständige Analyse haben die ESET Forscher auf WeLiveSecurity veröffentlicht.

„Bisher ist unklar, welches genaue Ziel die Angreifer mit CDRThief verfolgen. Da es die Hacker aber auf vertrauliche Informationen, einschließlich Anruf-Metadaten, abgesehen haben, vermuten wir Cyberspionage als Hauptverwendungszweck“, erklärt ESET Forscher Anton Tscherepanow. „Ein weiteres mögliches Ziel wäre VoIP Betrug. Da die Angreifer Informationen über VoIP Softswitches und Gateways erhalten, könnten sie diese Daten für finanzielle Betrügereien missbrauchen.“

Wie geht CDRThief vor?

Um an vertrauliche Informationen zu gelangen, durchsucht das Schadprogramm interne MySQL-Datenbanken, die von Softswitch genutzt werden. Auf diese Weise erhalten die Angreifer einen Überblick über die interne Architektur der Zielplattform.

Um die schädlichen Funktionen vor einer statischen Analyse zu verbergen, haben die Entwickler von CDRThief alle verdächtig aussehenden Zeichenfolgen verschlüsselt, selbst das Entschlüsselung-Kennwort. Dennoch ist die Malware in der Lage, es zu lesen und zu entschlüsseln. Hierdurch zeigen die Angreifer, dass sie tiefe Kenntnis über die Zielplattform besitzen. Die herausgeschleusten Daten sind ebenfalls codiert können nur von den Angreifern entschlüsselt werden.

Weitere technische Details über CDRThief gibt es auf WeLiveSecurity: www.welivesecurity.com/deutsch/2020/09/15/malware-cdrthief-greift-linux-voip-softswitches-an/

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Folgen Sie ESET:

https://www.ESET.de/
http://www.welivesecurity.de/
https://twitter.com/ESET_de
https://www.facebook.com/ESET.DACH

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab. Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.