Các nhà nghiên cứu an ninh mạng gần đây đã phát hiện ra một loại mã độc Linux mới có tên là “CDRThief”. Mã độc này hiện đang nhắm mục tiêu tới các hệ thống chuyển mạch mềm của VoIP (VoIP softswitch) nhằm đánh cắp siêu dữ liệu (metadata) của các cuộc gọi thoại.
“Mục tiêu chính của mã độc này là đánh cắp các dữ liệu nhạy cảm từ các hệ thống softswitch bị xâm nhập, bao gồm cả các bản ghi chi tiết của cuộc gọi (CDR),” các nhà nghiên cứu của ESET cho biết trong một bài phân tích.
“Để đánh cắp siêu dữ liệu này, mã độc sẽ truy vấn cơ sở dữ liệu MySQL nội bộ được softswitch sử dụng. Từ đó giúp kẻ tấn công có được những hiểu biết nhất định về kiến trúc bên trong của hệ thống mục tiêu.”
Softswitch (viết tắt của software switches, bộ chuyển mạch phần mềm) thường là các máy chủ VoIP, cho phép các mạng viễn thông quản lý lưu lượng thoại, fax, dữ liệu, video, cũng như định tuyến cuộc gọi (call routing).
Theo nghiên cứu của ESET, CDRThief đã nhắm mục tiêu tới một nền tảng Linux VoIP của một công ty Trung Quốc tên là Linknat, và tấn công hệ thống softswitch VOS2009 cùng VOS3000 của họ. Mã độc này còn mã hóa chức năng độc hại của nó để tránh phân tích tĩnh.
Mã độc này bắt đầu bằng cách cố định vị trí các file cấu hình softswitch từ một danh sách các thư mục được xác định trước, với mục tiêu lấy được thông tin đăng nhập của cơ sở dữ liệu MySQL. Những thông tin này sau đó sẽ được giải mã để truy vấn cơ sở dữ liệu.
Các nhà nghiên cứu của ESET cho biết kẻ tấn công sẽ phải phân tích ngược (reverse engineer) các mã nhị phân của hệ thống, để có thể phân tích quá trình mã hóa và truy xuất AES key dùng để giải mã mật khẩu của cơ sở dữ liệu. Điều này cho thấy kẻ tấn công có một nền tảng “kiến thức khá chắc” về hệ thống kiến trúc của VoIP.
Bên cạnh việc thu thập những thông tin cơ bản về hệ thống bị xâm nhập Linknat, CDRThief còn trích xuất và đánh cắp nhiều thông tin chi tiết của cơ sở dữ liệu (như tên người dùng, mật khẩu được mã hóa, địa chỉ IP). Ngoài ra, mã độc này còn thực hiện các truy vấn SQL trực tiếp đến cơ sở dữ liệu MySQL để thu thập các thông tin liên quan đến các sự kiện hệ thống (system event), các VoIP gateway và metadata của cuộc gọi.
“Các dữ liệu được trích xuất từ các e_syslog, e_gatewaymapping, và e_cdr tables sẽ được nén và sau đó được mã hóa bằng một RSA-1024 hardcode public key trước khi bị trích xuất. Do đó, chỉ có tác giả hoặc người điều khiển mã độc mới có thể giải mã các dữ liệu đó,” ESET cho biết.
Phiên bản hiện tại của mã độc này dường như chỉ tập trung vào việc thu thập các dữ liệu nhạy cảm từ cơ sở dữ liệu. Tuy nhiên, ESET cảnh báo rằng nó có thể dễ dàng thay đổi mục tiêu nếu kẻ tấn công quyết định phát triển thêm các tính năng đánh cắp tài liệu cải tiến hơn trong một bản cập nhật mới.
Tuy nhiên cho tới hiện tại, các nhà nghiên cứu vẫn chưa biết rõ mục đích cuối cùng của mã độc này là gì và họ cũng chưa có bất cứ thông tin nào về nhóm tin tặc đứng sau hoạt động tấn công này.
“Cho tới thời điểm công bố bài viết, chúng tôi vẫn chưa biết rõ mã độc này đã được triển khai như thế nào trên các thiết bị bị xâm nhập,” Anton Cherepanov, chuyên gia bảo mật của ESET cho biết. “Chúng tôi đoán rằng kẻ tấn công có thể đã chiếm quyền truy cập vào thiết bị bằng cách thực hiện một cuộc tấn công dò mật khẩu (brute-force) hoặc có thể chúng đã khai thác một lỗ hổng nào đó trên hệ thống.”
“Có vẻ hợp lý khi cho rằng mã độc này được sử dụng cho các hoạt động gián điệp mạng. Cũng có khả năng chúng sử dụng mã độc này với mục đích gian lận VoIP. Bởi lẽ kẻ tấn công đã thu thập nhiều thông tin về hoạt động và gateway của các VoIP softswitch, và thông tin này thì có thể bị lợi dụng để thực hiện các cuộc gian lận chia sẻ doanh thu quốc tế (IRSF).”
Theo The Hacker News
