CDRThief

CDRThief er et ejendommeligt stykke malware, der for nylig blev opdaget af forskerne. CDRThief målretter mod Linux-baserede servere og forsøger at indsamle data fra to specifikke Voice-over-IP (VoIP) softwarekontakter. Softswitches bruges til at forbinde telefonopkald fra en telefonlinje til en anden, enten via et telekommunikationsnetværk eller Internettet ved hjælp af softwaremetoder i stedet for på den mere traditionelle måde, afhængig af specialbygget elektronisk hardware.

Selvom den specifikke angrebsvektor, der bruges til at snige SDRThief på de målrettede systemer, stadig er ukendt, er trusselens adfærd efter kompromis blevet analyseret. CDRThief er designet til at udtrække data fra kun to Softswitch-programmer - VOS2009 og VOS3000 , udviklet af det kinesiske firma Linknat. Efter at være blevet implementeret på et system, der kører et af Softswitch-programmerne, begynder malware at scanne efter Linknat-konfigurationsfiler for at indsamle MySQL-databasens legitimationsoplysninger. Selvom adgangskoden til databasen er gemt i en krypteret form, har CDRThief evnen til at læse og dekryptere den. Dette er et bevis på, at hackerne bag truslen har et indgående kendskab til VoIP-softwaresektoren og den indre funktion af Linknat, især fordi de enten var nødt til at reverse engineering af programmernes binære programmer eller få specifik information om AES-krypteringsalgoritmen og nøglen. ved andre metoder.

Efter at have opnået legitimationsoplysningerne med succes, opretter CDRThief forbindelse til MySQL-databasen og kører SQL-forespørgsler for at indsamle detaljer om opkaldsposter (VoIP-metadata). Alle indsamlede oplysninger transmitteres derefter til en fjernserver under kriminals kontrol.

Det nøjagtige formål med CDRThief forbliver ukendt, men at dømme efter dets funktionalitet spekulerer forskerne i, at det enten kan bruges til cyberspionageaktiviteter eller som en del af International Revenue Share Fraud (IRSF) -ordningen, der udnytter eksistensen af premium-telefonnumre til generere monetære gevinster.