Siber güvenlik kuruluşu ESET’in araştırmalarına göre
CDRThief, Çin yapımı iki yazılım anahtarının kullandığı belli bir VoIP
platformunu hedef alacak şekilde tasarlanmış. Yazılım anahtarı, bir VoIP ağının
temel unsurudur; arama kontrolü, ücretlendirme ve yönetim imkanı sunar. Söz
konusu yazılım anahtarları, standart Linux sunucularında çalışan yazılım
tabanlı çözümleridir.
Dikkate değer bir
zararlı
Tamamıyla yeni Linux kötü amaçlı yazılım nadiren
görüldüğünden, CDRThief dikkate değer bir yazılım olarak değerlendiriliyor. Bu
kötü amaçlı yazılım, ihlal edilmiş bir yazılım anahtarından arama ayrıntısı
kayıtları (CDR) gibi çeşitli kişisel verileri sızdırmaya odaklanıyor.
CDRThief’i keşfeden ESET araştırmacısı Anton Cherepanov,
“Bu kötü amaçlı yazılımı kullanan saldırganların nihai hedefinin ne olduğunu
bilmek çok zor. Ancak, arama meta verileri hassas bilgileri sızdırdığından
amacının siber casusluk olduğunu düşünebiliriz. Başka bir olasılık ise bu kötü
amaçlı yazılımı kullanan saldırganların amacının VoIP dolandırıcılığı
olduğudur. Saldırganlar, VoIP yazılım anahtarları ve bu anahtarların ağ
geçitleriyle ilgili bilgi elde etmek istiyor ve bu bilgiler Uluslararası Gelir
Paylaşımı Dolandırıcılığı için kullanılabilir” tespitini yaptı.
Cherepanov, ayrıca “CDR’ler aramalarda arayanın ve karşı
tarafın IP adresleri, aramanın başlama saati, aramanın süresi, arama ücretleri
ve diğer bilgiler gibi VoIP aramalarındaki meta verileri kapsıyor” diye
konuştu.
Saldırganlar,
hedeflenen platformu iyi tanıyor
Bu meta veriyi çalmak için kötü amaçlı yazılım, yazılım
anahtarı tarafından kullanılan dahili MySQL veri tabanlarını sorguluyor. Bu
durum saldırganların hedeflenen platformun dahili mimarisini çok iyi bildiğini
gösteriyor.
Cherepanov, “Bu kötü amaçlı yazılımı, örnek paylaşım
akışlarımızın birinde fark ettik ve tamamıyla yeni bir Linux kötü amaçlı
yazılım olması, nadiren görülmesi dikkatimizi çekti. Ayrıca bu kötü amaçlı
yazılımın belli bir Linux VoIP platformunu hedef alması durumu daha da ilginç
kılıyor” şeklinde açıklıyor.
Yapılandırma dosyasında saklanan parola genelde
şifreleniyor. Buna rağmen, kötü amaçlı Linux/CDRThief yazılımı bu parolayı
okuyabiliyor ve bu parolanın şifresini çözebiliyor. Bu durum saldırganların
hedeflenen platformla ilgili derin bir bilgiye sahip olduğunu gösteriyor, çünkü
kullanılan algoritma ve şifreleme anahtarları belgelendirilmez. Ayrıca,
sızdırılan herhangi bir verinin şifresini yalnızca kötü amaçlı yazılımın
yazarları veya operatörleri çözebilir.
Cherepanov, “Kötü amaçlı yazılım, diskte herhangi bir dosya
adıyla herhangi bir konumda bulunabilir. Bu kötü amaçlı yazılımı başlatmak için
nasıl bir kalıcılık türü kullanıldığı bilinmiyor. Ancak, kötü amaçlı yazılım
bir kez başlatıldığında Linknat platformunda bulunan yasal bir dosya
oluşturmaya çalışıyor. Bundan yola çıkarak, kötü amaçlı ikili dosyanın
kalıcılık sağlamak ve Linknat yazılım anahtarı yazılımının bileşeni gibi
görünmek için platformun sıradan önyükleme zincirine bir şekilde
yerleştirildiğini söyleyebiliriz” açıklamasını yaptı.
VoIP nedir?
Günümüzde en çok tercih edilen telekomünikasyon iletişim
yönetimlerinden biri olan VoIP (Voice Over Internet Protocol), internet yoluyla
IP üzerinden ses, video veya mesaj gönderilmesidir. VoIP, sesi internet
üzerinde yolculuk yapan dijital sinyallere çevirir.
YORUMLAR