ESET(이셋)의 국내 법인 이셋코리아는 VoIP 소프트 스위치를 대상으로 하는 신종 맬웨어인 CDRThief를 발견했다고 밝혔다.

이 맬웨어는 중국에서 만든 두 개의 소프트웨어 스위치인 Linknat VOS2009 및 VOS3000에서 사용하는 매우 특정한 VoIP 플랫폼을 대상으로 한다. 소프트 스위치는 통화 제어, 청구 및 관리를 제공하는 VoIP 네트워크의 핵심 요소이다. 이러한 소프트 스위치는 표준 Linux 서버에서 실행되는 소프트웨어 기반 솔루션이다. 완전히 새로운 Linux 맬웨어는 거의 발견되지 않으므로 CDRThief는 관심을 가질 만한 가치가 있다. 맬웨어의 주요 목표는 손상된 소프트 스위치에서 CDR(통화 상세 내역 레코드)을 포함한 다양한 개인 데이터를 빼내는 것이다.

CDRThief를 발견한 ESET 연구원 Anton Cherepanov는 “이 맬웨어를 사용하는 공격자의 궁극적인 목표를 알기는 어렵다. 그러나 통화 메타 데이터를 비롯한 민감한 정보를 유출하기 때문에 맬웨어가 사이버스파이 활동에 사용된다고 보는 것이 타당해 보인다. 이 맬웨어를 사용하는 공격자의 또 다른 가능한 목표는 VoIP 사기이다. 공격자가 VoIP 소프트 스위치 및 게이트웨이의 활동에 대한 정보를 획득하기 때문에 이 정보는 국제 수익 공유 사기행위(ISRF)를 수행하는 데 사용될 수 있다”라며 덧붙여 “CDR에는 발신자 및 통화 수신자의 IP 주소, 통화 시작 시간, 통화시간, 통화 요금 및 기타 정보와 같은 VoIP 통화에 대한 메타 데이터가 포함되어 있다”라고 말했다.

이 메타 데이터를 훔치기 위해 맬웨어는 소프트 스위치에서 사용하는 내부 MySQL 데이터베이스를 쿼리하다. 따라서 공격자는 대상 플랫폼의 내부 아키텍처를 확실하게 이해하고 있음을 보여준다.

Anton Cherepanov는 “우리는 샘플 공유 피드 중 하나에서 이 맬웨어를 발견했으며 완전히 새로운 Linux 맬웨어로서는 보기 드물고 관심을 끌었다. 더욱 흥미로운 점은 이 맬웨어가 특정 Linux VoIP 플랫폼을 표적으로 삼았다는 것이 금방 명백해졌다는 것이다”라고 말했다.

맬웨어 작성자는 기본적인 정적 분석으로부터 악의적인 기능을 숨기기 위해 의심스러운 문자열을 암호화했다. 흥미롭게도, 구성 파일의 암호는 암호화되어 저장된다. 그럼에도 불구하고 Linux/CDRThief는 여전히 이를 읽고 해독할 수 있다. 따라서 공격자는 대상 플랫폼에 대한 깊은 지식을 보여주는데, 이는 사용된 알고리즘과 암호화 키가 문서화되지 않았기 때문이다. 또한 맬웨어 작성자 또는 운영자만 유출된 데이터를 해독할 수 있다.

Anton Cherepanov는 “맬웨어는 모든 파일 이름으로 디스크의 모든 위치에 배포될 수 있다. 맬웨어를 시작하는데 어떤 유형의 지속성이 사용되는지는 알려지지 않았다. 그러나 맬웨어가 시작되면 Linknat 플랫폼에 있는 합법적인 파일을 시작하려고 시도한다. 이는 악성 바이너리가 지속성을 달성하고 Linknat 소프트 스위치소프트웨어의 구성 요소로 위장하기 위해 어떤 식으로든 플랫폼의 일반 부트 체인에 삽입될 수 있음을 시사한다”라고 말했다.

한편 CDRThief에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “Who is calling? CDRThief targets Linux VoIP softswitches”를 참조하면 된다.

★정보보안 대표 미디어 데일리시큐!★