Компания ESET сообщила о вредоносном ПО, нацеленном на софтсвичи my VoIP-платформы на ОС Linux. Эта платформа довольно специфична и используется двумя коммутаторами: Linknat VOS2009 и VOS3000.

Софтсвич (software switch) – основной элемент VoIP-сети, который позволяет контролировать вызовы и биллинг, а также управлять звонками. При помощи CDRThief злоумышленники похищают приватную информацию, например, метаданные звонков, среди которых номера телефонов и IP-адреса пользователей, продолжительность звонка, его стоимость и др. Для получения перечисленных сведений вредоносное ПО отправляет запрос к внутренним базам данных MySQL, используемым софтсвичем.

Как отмечают эксперты ESET, злоумышленники хорошо изучили внутреннюю архитектуру атакуемой платформы. Чтобы получить доступ к базе MySQL, вредонос считывает учетные данные из Linknat – конфигурационных файлов VOS2009 и VOS3000. При этом пароли конфигурационных файлов хранятся в зашифрованном виде, но CDRThief способен их расшифровать.

Вредоносная программа может быть развернута в любом месте на диске c любым именем файла. При этом она способна встраиваться в обычную загрузочную цепочку платформы и маскироваться под компонент софтсвича Linknat.

В настоящее время сложно определить конечную цель злоумышленников, отмечают в ESET, но можно предположить, что это кибершпионаж и мошенничество.