Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert et analysé un malware qui cible des PABX logiciels de voix sur IP (VoIP). Ce nouveau malware, nommé CDRThief par ESET, est conçu pour cibler une plateforme VoIP très spécifique, utilisée par deux commutateurs logiciels fabriqués en Chine : Linknat VOS2009 et VOS3000. Un commutateur logiciel est un élément central d’un réseau de VoIP qui assure le contrôle, la facturation et la gestion des appels. Ce sont des solutions logicielles qui fonctionnent sur des serveurs Linux standard. Les malwares Linux entièrement nouveaux sont assez rares, ce qui rend CDRThief digne d’intérêt. L’objectif premier du malware est d’exfiltrer différentes données privées, y compris les enregistrements des détails des appels (CDR), d’un commutateur logiciel compromis.
« Il est difficile de connaître le but ultime des pirates qui utilisent ce malware. Cependant, comme il exfiltre des informations sensibles, y compris les métadonnées des appels, il semble raisonnable de supposer que le malware soit utilisé à des fins de cyberespionnage. La fraude pourrait être un autre objectif possible des pirates qui utilisent ce malware. Comme ils obtiennent des informations sur l’activité des commutateurs logiciels VoIP et de leurs passerelles, celles-ci pourraient être utilisées pour commettre de la fraude au partage des recettes internationales, » explique Anton Tcherepanov, le chercheur d’ESET qui a découvert CDRThief. « Les CDR contiennent des métadonnées sur les appels VoIP, notamment sur l’appelant et les adresses IP des destinataires des appels, l’heure de début des appels, la durée des appels, les frais de communication et d’autres informations, » ajoute-t-il.
Pour voler ces métadonnées, le malware interroge les bases de données MySQL internes utilisées par les commutateurs logiciels. Ainsi, les pirates font preuve d’une excellente compréhension de l’architecture interne de la plateforme ciblée.
« Nous avons remarqué ce malware dans un de nos flux de partage d’échantillons, et comme il s’agit d’un malware Linux entièrement nouveau, il est rare et a attiré notre attention. Ce qui est encore plus intéressant, c’est qu’il est rapidement apparu que ce malware visait une plateforme VoIP Linux spécifique, » explique M. Cherepanov.
Pour dissimuler les fonctionnalités malveillantes lors d’une analyse statique de base, les auteurs ont chiffré toutes les chaînes suspectes. Il est intéressant de noter que le mot de passe du fichier de configuration est stocké sous forme chiffrée. Malgré cela, le malware Linux/CDRThief est capable de le lire et le déchiffrer. Les pirates démontrent ainsi leur connaissance approfondie de la plateforme ciblée, puisque l’algorithme et les clés de chiffrement utilisés ne sont pas documentés. De plus, seuls les auteurs ou les opérateurs du malware sont en mesure de déchiffrer les données exfiltrées.
« Le malware peut être déployé à n’importe quel endroit du disque sous n’importe quel nom de fichier. Nous ignorons à ce jour le type de persistance qui est utilisé pour activer le malware. Il convient cependant de noter qu’une fois que le malware est activé, il tente de lancer un fichier légitime présent sur la plateforme Linknat. Cela suggère que le binaire malveillant pourrait d’une manière ou d’une autre être inséré dans une chaîne de démarrage régulière de la plateforme afin d’être persistant, et éventuellement se faire passer pour un composant du commutateur logiciel Linknat, » conclut M. Cherepanov.
Pour plus de détails techniques sur CDRThief, lisez l’article « Who is calling? CDRThief targets Linux VoIP softswitches » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.