보안업체 ESET 연구원들은 VoIP 시스템을 대상으로 통화 데이터를 탈취하도록 설계된 “CDRThief”라는 새로운 유형의 리눅스 악성코드를 발견했다. 이들은 분석에서 VoIP 소프트 스위치를 겨냥한 멀웨어의 주요 목표는 감염된 시스템에서 CDR(통화 정보 기록)을 포함한 다양한 개인 데이터를 탈취하는 것이라고 언급했다. 이 메타 데이터를 탈취하기 위해 멀웨어는 시스템에서 사용하는 내부 MySQL 데이터 베이스에 접근하는 것으로 알려졌다.

VoIP 소프트 스위치(소프트웨어 스위치의 줄임말)는 VoIP 서버로 통신 네트워크에서 음성, 데이터 및 비디오 트래픽, 통화 라우팅 등을 관리할 수 있다.

ESET의 연구에 따르면 CDR은 특정 리눅스 VoIP 플랫폼인 중국의 Linknat 기업의 VOS2009과 3000 소프트 스위치를 겨냥, 탐지를 회피하기 위해 암호화하는 것으로 알려졌다. 멀웨어는 먼저 MySQL 데이터베이스 자격 증명에 액세스 할 목적으로 미리 지정된 디렉토리에서 소프트 스위치 구성 파일을 찾으려고 시도한 다음 데이터베이스를 쿼리하기 위해 암호를 해독한다.

이와 관련하여 ESET 연구원들은 공격자가 암호화 프로세스를 리버싱한 결과 공격자들인 VoIP 아키텍처를 매우 잘 이해하고 있음을 밝혀냈다.

공격자들은 손상된 Linknat 시스템에 대한 기본 정보를 수집하는 것 외에도 데이터베이스 세부 정보(사용자 이름, 암호, IP 주소 등)를 필터링하고 MySQL 데이터베이스에 직접 SQL 쿼리를 실행, 시스템 이벤트, VoIP 게이트 웨이 등 메타 데이터 관련 정보를 수집한다.

ESET 보안연구원 Anton Cherepanov는 이러한 멀웨어가 손상된 장치에 어떻게 배포되는 지 알 수 없지만 공격자가 무차별 대입 공격을 사용하거나 취약점을 악용해 장비에 액세스할 수 있다고 언급한 것으로 알려졌다.

[출처 : 해커뉴스 / 2020.09.14.]