Siber güvenlik kuruluşu ESET’in araştırmalarına nazaran CDRThief, Çin imali iki yazılım anahtarının kullandığı muhakkak bir VoIP platformunu amaç alacak formda tasarlanmış. Yazılım anahtarı, bir VoIP ağının temel ögesidir; arama denetimi, fiyatlandırma ve idare imkanı sunar. Kelam konusu yazılım anahtarları, standart Linux sunucularında çalışan yazılım tabanlı tahlilleridir.
Dikkate bedel bir ziyanlı
Büsbütün yeni Linux berbat hedefli yazılım nadiren görüldüğünden, CDRThief dikkate kıymet bir yazılım olarak bedellendiriliyor. Bu makûs maksatlı yazılım, ihlal edilmiş bir yazılım anahtarından arama detayı kayıtları (CDR) üzere çeşitli şahsî dataları sızdırmaya odaklanıyor.
CDRThief’i keşfeden ESET araştırmacısı Anton Cherepanov, “Bu makus hedefli yazılımı kullanan saldırganların sonuncu maksadının ne olduğunu bilmek çok güç. Lakin, arama meta bilgileri hassas bilgileri sızdırdığından hedefinin siber casusluk olduğunu düşünebiliriz. Diğer bir mümkünlük ise bu makûs hedefli yazılımı kullanan saldırganların gayesinin VoIP dolandırıcılığı olduğudur.
Saldırganlar, VoIP yazılım anahtarları ve bu anahtarların ağ geçitleriyle ilgili bilgi elde etmek istiyor ve bu bilgiler Milletlerarası Gelir Paylaşımı Dolandırıcılığı için kullanılabilir” tespitini yaptı.
Cherepanov, ayrıyeten “CDR’ler aramalarda arayanın ve karşı tarafın IP adresleri, aramanın başlama saati, aramanın mühleti, arama fiyatları ve öteki bilgiler üzere VoIP aramalarındaki meta dataları kapsıyor” diye konuştu.
Saldırganlar, hedeflenen platformu düzgün tanıyor
Bu meta datayı çalmak için berbat emelli yazılım, yazılım anahtarı tarafından kullanılan dahili MySQL bilgi tabanlarını sorguluyor. Bu durum saldırganların hedeflenen platformun dahili mimarisini çok yeterli bildiğini gösteriyor.
Cherepanov, “Bu makus maksatlı yazılımı, örnek paylaşım akışlarımızın birinde fark ettik ve büsbütün yeni bir Linux makus hedefli yazılım olması, nadiren görülmesi dikkatimizi çekti. Ayrıyeten bu berbat hedefli yazılımın muhakkak bir Linux VoIP platformunu amaç alması durumu daha da farklı kılıyor” formunda açıklıyor.
Yapılandırma evrakında saklanan parola genelde şifreleniyor. Buna karşın, berbat maksatlı Linux/CDRThief yazılımı bu parolayı okuyabiliyor ve bu parolanın şifresini çözebiliyor. Bu durum saldırganların hedeflenen platformla ilgili derin bir bilgiye sahip olduğunu gösteriyor, zira kullanılan algoritma ve şifreleme anahtarları belgelendirilmez. Ayrıyeten, sızdırılan rastgele bir datanın şifresini sadece makûs emelli yazılımın muharrirleri yahut operatörleri çözebilir.
Cherepanov, “Kötü maksatlı yazılım, diskte rastgele bir evrak ismiyle rastgele bir pozisyonda bulunabilir. Bu berbat emelli yazılımı başlatmak için nasıl bir kalıcılık tipi kullanıldığı bilinmiyor. Lakin, berbat maksatlı yazılım bir sefer başlatıldığında Linknat platformunda bulunan yasal bir belge oluşturmaya çalışıyor. Bundan yola çıkarak, makûs maksatlı ikili evrakın kalıcılık sağlamak ve Linknat yazılım anahtarı yazılımının bileşeni üzere görünmek için platformun sıradan önyükleme zincirine bir halde yerleştirildiğini söyleyebiliriz” açıklamasını yaptı.
VoIP nedir?
Günümüzde en çok tercih edilen telekomünikasyon bağlantı idarelerinden biri olan VoIP (Voice Over Internet Protocol), internet yoluyla IP üzerinden ses, görüntü yahut bildiri gönderilmesidir. VoIP, sesi internet üzerinde seyahat yapan dijital sinyallere çevirir.
