Investigadores de ESET, la mayor empresa de ciberseguridad de la Unión Europea, han descubierto y analizado un nuevo malware, denominado CDRThief, diseñado específicamente para afectar a dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000.
Un softswitch es un elemento clave de una red VoIP ya que proporciona control sobre las llamadas, la facturación y su gestión. Estas soluciones basadas en software se ejecutan en servidores Linux estándar, lo que hace más interesante si cabe a CDRThief, ya que no es habitual encontrar malware enteramente diseñado para Linux. El objetivo principal de CDRThief es extraer datos privados del softswitch comprometido, entre los que se incluyen los registros de llamadas.
“Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación”, afirma el investigador de ESET Anton Cherepanov. “CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”.
Para robar estos metadatos, el malware lanza peticiones internas a las bases de datos MySQL usadas por los softswitches, lo que demuestra unos amplios conocimientos por parte de los delincuentes de las arquitecturas internas de las plataformas atacadas.
