CDRThief

CDRThief je zvláštní kus malwaru, který nedávno objevili vědci. CDRThief se zaměřuje na servery založené na Linuxu a pokouší se sbírat data ze dvou specifických softwarových přepínačů Voice-over-IP (VoIP). Softswitche se používají k propojení telefonních hovorů z jedné telefonní linky na druhou, a to buď prostřednictvím telekomunikační sítě nebo internetu pomocí softwaru zcela namísto tradičnějšího způsobu, spoléhajícího se na účelový elektronický hardware.

Ačkoli konkrétní útočný vektor použitý k plížení SDRThief na cílové systémy zůstává neznámý, bylo analyzováno postkompromisní chování hrozby. CDRThief je navržen tak, aby extrahoval data pouze ze dvou programů Softswitch - VOS2009 a VOS3000 , vyvinutých čínskou společností Linknat. Po nasazení v systému, na kterém běží jeden z programů Softswitch, malware začne skenovat konfigurační soubory Linknat, aby shromáždil pověření databáze MySQL. Ačkoli je heslo pro databázi uloženo v zašifrované podobě, CDRThief má schopnost číst a dešifrovat jej. To dokazuje, že hackeři, kteří za touto hrozbou stojí, mají důkladnou znalost softwarového sektoru VoIP a vnitřního fungování Linknat, zejména proto, že museli buď zpětně analyzovat binární soubory programů, nebo získat konkrétní informace o šifrovacím algoritmu AES a klíči jinými metodami.

Po úspěšném získání přihlašovacích údajů se CDRThief připojí k databázi MySQL a spustí dotazy SQL ke shromažďování podrobností záznamu hovoru (metadata VoIP). Všechny shromážděné informace jsou poté přeneseny na vzdálený server pod kontrolou zločinců.

Přesný účel CDRThief zůstává neznámý, ale soudě podle jeho funkčnosti vědci spekulují, že jej lze použít buď pro aktivity kybernetické špionáže, nebo jako součást schématu International Revenue Share Fraud (IRSF), který využívá existenci prémiových telefonních čísel k generovat peněžní zisky.