قام الباحثون لدى شركة «إسيت» ESET باكتشاف وتحليل برنامج ضار يستهدف مفاتيح تحويل الصوت عبر بروتوكول الإنترنت (VoIP). تم تصميم هذا البرنامج الضار الجديد، المسمى CDRThief من أجل استهداف منصة VoIP محددة للغاية يستخدمها “محولات برمجية” صينية الصنع وهم Linknat VOS2009 و VOS3000. “المحول البرمجي” هو عنصر أساسي في شبكة VoIP التي توفر التحكم في المكالمات والفواتير والإدارة. هذه المحولات البرمجية عبارة عن حلول قائمة على البرامج التي تعمل على خوادم نظام التشغيل “لينكس” (Linux) القياسية. نادرًا ما يتم مشاهدة برامج ضارة جديدة لنظام “لينكس”، مما يجعل CDRThief جديرًا بالاهتمام. الهدف الأساسي من البرنامج الضار هو إخراج العديد من البيانات الخاصة، بما في ذلك سجلات تفاصيل المكالمات (CDR)، من نظام “المحول البرمجي” المخترق.
صرح “أنتون شيريبانوف”، الباحث المكتشف لـ CDRThief، وقال: “من الصعب معرفة الهدف النهائي للمهاجمين الذين يستخدمون هذه البرامج الضارة. ونظرًا لأنه يخترق معلومات حساسة، بما في ذلك البيانات الوصفية للمكالمات، يمكن افتراض أن البرنامج الضار يستخدم في التجسس الإلكتروني. هدف آخر محتمل للمهاجمين الذين يستخدمونه هو الاحتيال عبر بروتوكول VoIP. نظرًا لأن المهاجمين يحصلون على معلومات حول نشاط مفاتيح تحويل الصوت عبر بروتوكول الإنترنت وبواباتهم، ويمكن استخدام هذه المعلومات لتنفيذ عملية احتيال مثل مشاركة الإيرادات الدولية. تحتوي سجلات CDR على بيانات وصفية حول مكالمات VoIP مثل عناوين المتصل وعناوين IP لمتلقي المكالمات ووقت بدء المكالمة ومدة المكالمة ورسوم المكالمات وغيرها من المعلومات الهامة”.
لسرقة هذه البيانات الوصفية، تستعلم البرامج الضارة عن قواعد بيانات MySQL الداخلية التي يستخدمها نظام “المحول البرمجي”. وبالتالي يمتلك المهاجمون معلومات مهمه للبنية الداخلية للمنصة المستهدفة.
و أضاف”شيريبانوف”: “لقد لاحظنا البرنامج الضار المذكور في إحدى نماذجنا، وهو نادر وملفت للانتباه كونه برنامج ضار جديد تمامًا على نظام “لينكس”. الأمر الأكثر إثارة هو أنه سرعان ما أصبح واضحًا أن هذا البرنامج الضار استهدف منصة VoIP للينكس تحديدًا دون غيرها”.
قام المؤلفون للبرنامج الضار بتشفير أي سلاسل مشبوهة المظهر بهدف إخفاء الوظائف الضارة من التحليل الثابت الأساسي. وعلى الرغم من أن كلمة المرور من ملف التكوين مخزنة بشكل مشفر، إلا أن البرنامج الضار CDRThief قادر على قراءتها وفك تشفيرها. وأصبح للمهاجمون معرفة عميقة بالمنصة المستهدفة، حيث لم يتم توثيق الخوارزمية ومفاتيح التشفير المستخدمة. بجانب أن لمؤلفي أو مشغلي البرامج الضارة القدرة على فك تشفير أي بيانات تم اختراقها.
وأختتم “شيريبانوف” تصريحاته، قائلاً: “يمكن نشر البرنامج الضار في أي مكان على القرص تحت أي اسم لملف. من غير المعروف نوع التثبيت المستخدم لبدء عمل البرنامج الضار. ومع ذلك، يشار إلى أنه بمجرد بدء تشغيل البرنامج الضار، يقوم بمحاولة تشغيل ملف شرعي موجود على منصة Linknat. يشير هذا إلى أن البرنامج الثنائي الخبيث قد يتم إدراجه بطريقة ما في سلسلة التمهيد العادية للمنصة من أجل تحقيق التثبيت وربما التنكر كعنصر من مكونات المحول البرمجي Linknat”.