CDRThief

CDRThief on omapärane pahavara, mille avastasid teadlased hiljuti. CDRThief sihib Linuxi-põhiseid servereid ja üritab andmeid koguda kahest konkreetsest VoIP-tarkvaralülitist. Softsellülitid kasutatakse telefonikõnede ühendamiseks ühest telefoniliinist teise kas telekommunikatsioonivõrgu või Interneti kaudu tarkvaraliste vahendite abil täielikult traditsioonilisema viisi asemel, tuginedes selleks loodud elektroonilisele riistvarale.

Ehkki konkreetne rünnakuvektor, mida kasutatakse SDRThief'i sihikule viimiseks, on endiselt teadmata, on ohu kompromissijärgset käitumist analüüsitud. CDRThief on loodud andmete väljavõtmiseks vaid kahest Softswitchi programmist - VOS2009 ja VOS3000 , mille on välja töötanud Hiina ettevõte Linknat. Pärast juurutamist süsteemis, mis käitab ühte Softswitchi programmist, hakkab pahavara otsima linknati konfiguratsioonifaile, et koguda MySQL-i andmebaasi mandaate. Kuigi andmebaasi parool on salvestatud krüptitud kujul, on CDRThiefil võimalus seda lugeda ja dekrüpteerida. See on tõend selle kohta, et ohu taga olnud häkkeritel on lähedased teadmised VoIP-tarkvara sektorist ja eriti Linknati sisemisest toimimisest, kuna nad pidid kas programmide kahendfaile ümber töötama või hankima konkreetset teavet AES-i krüpteerimisalgoritmi ja võtme kohta muude meetoditega.

Pärast mandaatide edukat hankimist loob CDRThief ühenduse MySQL-i andmebaasiga ja käivitab SQL-päringud kõnekirjete üksikasjade (VoIP-metaandmete) kogumiseks. Seejärel edastatakse kogu kogutud teave kurjategijate kontrolli all kaugserverisse.

CDRThief'i täpne eesmärk on endiselt teadmata, kuid selle funktsionaalsuse põhjal otsustavad teadlased, et seda saab kasutada kas küber-spionaažitegevuseks või osana rahvusvahelisest tulude jagamise pettuse (IRSF) skeemist, mis kasutab lisatasu telefoninumbrite olemasolu teenida rahalist kasu.