Siber güvenlik kuruluşu ESET’in araştırmalarına nazaran CDRThief, Çin imali iki yazılım anahtarının kullandığı muhakkak bir VoIP platformunu gaye alacak formda tasarlanmış. Yazılım anahtarı, bir VoIP ağının temel ögesidir; arama denetimi, fiyatlandırma ve idare imkanı sunar. Kelam konusu yazılım anahtarları, standart Linux sunucularında çalışan yazılım tabanlı tahlilleridir.
Dikkate kıymet bir zararlı
Tamamıyla yeni Linux berbat emelli yazılım nadiren görüldüğünden, CDRThief dikkate bedel bir yazılım olarak bedellendiriliyor. Bu berbat maksatlı yazılım, ihlal edilmiş bir yazılım anahtarından arama detayı kayıtları (CDR) üzere çeşitli şahsî bilgileri sızdırmaya odaklanıyor.
CDRThief’i keşfeden ESET araştırmacısı Anton Cherepanov, “Bu makus gayeli yazılımı kullanan saldırganların sonuncu amacının ne olduğunu bilmek çok sıkıntı. Fakat, arama meta dataları hassas bilgileri sızdırdığından hedefinin siber casusluk olduğunu düşünebiliriz. Diğer bir mümkünlük ise bu makûs hedefli yazılımı kullanan saldırganların maksadının VoIP dolandırıcılığı olduğudur.
Saldırganlar, VoIP yazılım anahtarları ve bu anahtarların ağ geçitleriyle ilgili bilgi elde etmek istiyor ve bu bilgiler Milletlerarası Gelir Paylaşımı Dolandırıcılığı için kullanılabilir” tespitini yaptı.
Cherepanov, ayrıyeten “CDR’ler aramalarda arayanın ve karşı tarafın IP adresleri, aramanın başlama saati, aramanın müddeti, arama fiyatları ve öbür bilgiler üzere VoIP aramalarındaki meta bilgileri kapsıyor” diye konuştu.
Saldırganlar, hedeflenen platformu yeterli tanıyor
Bu meta datayı çalmak için makus hedefli yazılım, yazılım anahtarı tarafından kullanılan dahili MySQL bilgi tabanlarını sorguluyor. Bu durum saldırganların hedeflenen platformun dahili mimarisini çok âlâ bildiğini gösteriyor.
Cherepanov, “Bu makus hedefli yazılımı, örnek paylaşım akışlarımızın birinde fark ettik ve külliyen yeni bir Linux makûs maksatlı yazılım olması, nadiren görülmesi dikkatimizi çekti. Ayrıyeten bu makûs emelli yazılımın muhakkak bir Linux VoIP platformunu amaç alması durumu daha da farklı kılıyor” biçiminde açıklıyor.
Yapılandırma evrakında saklanan parola genelde şifreleniyor. Buna karşın, berbat emelli Linux/CDRThief yazılımı bu parolayı okuyabiliyor ve bu parolanın şifresini çözebiliyor. Bu durum saldırganların hedeflenen platformla ilgili derin bir bilgiye sahip olduğunu gösteriyor, zira kullanılan algoritma ve şifreleme anahtarları belgelendirilmez. Ayrıyeten, sızdırılan rastgele bir datanın şifresini sadece makus emelli yazılımın müellifleri yahut operatörleri çözebilir.
Cherepanov, “Kötü emelli yazılım, diskte rastgele bir evrak ismiyle rastgele bir pozisyonda bulunabilir. Bu berbat hedefli yazılımı başlatmak için nasıl bir kalıcılık tipi kullanıldığı bilinmiyor. Lakin, makus hedefli yazılım bir sefer başlatıldığında Linknat platformunda bulunan yasal bir belge oluşturmaya çalışıyor. Bundan yola çıkarak, berbat emelli ikili belgenin kalıcılık sağlamak ve Linknat yazılım anahtarı yazılımının bileşeni üzere görünmek için platformun sıradan önyükleme zincirine bir formda yerleştirildiğini söyleyebiliriz” açıklamasını yaptı.
VoIP nedir?
Günümüzde en çok tercih edilen telekomünikasyon irtibat idarelerinden biri olan VoIP (Voice Over Internet Protocol), internet yoluyla IP üzerinden ses, görüntü yahut ileti gönderilmesidir. VoIP, sesi internet üzerinde seyahat yapan dijital sinyallere çevirir.
