Нова загроза атакує серверні платформи Linux

Шкідливе програмне забезпечення під назвою CDRThief, яке спрямоване на програмні комутатори Voice over IP (VoIP), виявили фахівці з кібербезпеки. Ціллю нової шкідливої програми є платформа VoIP, яка використовується двома програмними комутаторами китайського виробництва: Linknat VOS2009 та VOS3000.

Програмний комутатор — це основний елемент мережі VoIP, який забезпечує контроль дзвінків, білінг та управління. Як правило, вони працюють на поширених серверних платформах Linux, повідомляє ESET.

Нові шкідливі програми для Linux виявляють досить не часто, що й привернуло увагу до CDRThief. Основною метою шкідливого ПЗ є отримання різних конфіденційних даних, включаючи детальний звіт про дзвінки (CDR), зі скомпрометованого програмного комутатора.

“Важко зрозуміти головну мету зловмисників, які використовують цю шкідливу програму. Оскільки загроза має здатність перехоплювати конфіденційну інформацію, включаючи метадані викликів, можна припустити, що шкідливе ПЗ використовується для кібершпіонажу. Іншою можливою метою кіберзлочинців є шахрайство. Оскільки зловмисники отримують дані про діяльність програмних комутаторів VoIP та їх шлюзів, ця інформація може бути використана для здійснення несанкціонованих дзвінків на платні номери, — коментують дослідники ESET, які виявили CDRThief. — CDR містить метадані про дзвінки VoIP, такі як номер абонента та IP-адреси одержувачів дзвінків, час початку, тривалість та вартість дзвінків, а також іншу інформацію”.

Для викрадення цих метаданих шкідливе програмне забезпечення робить запит до внутрішніх баз даних MySQL, які використовуються програмним комутатором. Таким чином, зловмисники демонструють чітке розуміння внутрішньої архітектури платформи.

“Нашу увагу привернуло абсолютно нове шкідливе ПЗ для Linux, яке було виявлено в одному з фідів даних зі зразками. Інтерес становить те, що ця загроза націлена на конкретну VoIP Linux платформу”, — пояснюють дослідники ESET.

Щоб приховати шкідливу функціональність від простих прийомів статичного аналізу, кіберзлочинці зашифрували всі підозрілі рядки. Цікаво, що пароль від файлу конфігурації зберігається в зашифрованому вигляді. Незважаючи на це, шкідливе програмне забезпечення Linux/CDRThief все ще може читати та розшифровувати його. Можна припустити, що зловмисники добре знають атаковану платформу, оскільки інформація про алгоритми та ключі шифрування не задокументована. Крім того, лише зловмисники можуть розшифрувати будь-які перехоплені дані.

“Шкідливе програмне забезпечення може бути розгорнуте в будь-якому місці на диску з будь-яким ім’ям файлу. Однак невідомо, який метод стійкості використовується для запуску шкідливої програми. Варто зазначити, що після запуску загроза намагається запустити легітимний файл, присутній на платформі Linknat. Це свідчить про те, що шкідливий виконуваний файл можна вставити в звичайний ланцюжок завантаження платформи, щоб залишатися непоміченим в системі та замаскуватися під компонент програмного комутатора Linknat”, — робить висновок дослідник ESET.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків

10 кращих застосунків для Android та iOS, які допоможуть Вам у навчанні

Чому слід оновлювати програмне забезпечення? Поради

Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ

Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ

Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ

Нагадаємо, виявили нову шпигунську кампанію проти користувачів Android, в рамках якої зловмисники поширюють “Pro-версію” TikTok. Шкідливе ПЗ здатне захоплювати контроль над базовими функціями пристрою – робити фотографії, читати і відправляти SMS-повідомлення, здійснювати телефонні дзвінки і запускати додатки.

Також співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.

З’явилася офіційно ОС Android 11, яка розповсюджується серед компаній-виробників смартфонів та розробників Android. Остання версія мобільної ОС Google фокусується на трьох ключових темах – людське життя, елементи керування та конфіденційність – і робить їх більш помітними на Вашому смартфоні.

Фахівці Колумбійського університету провели дослідження на предмет безпеки Android-додатків, і 306 додатків містили серйозні криптографічні уразливості. Найпоширенішими проблемами опинилися використання небезпечного генератора псевдовипадкових чисел, непрацюючі хеш-функції, використання режиму роботи CBC, повторне використання паролів (в тому числі ненадійних) тощо.

Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.