CDRThief

CDRThief on erikoinen haittaohjelma, jonka tutkijat löysivät äskettäin. CDRThief kohdistuu Linux-pohjaisiin palvelimiin ja yrittää kerätä tietoja kahdesta erityisestä VoIP (Voice-over-IP) -ohjelmistokytkimestä. Softswitch-kytkimiä käytetään soittamaan puhelut yhdestä puhelinlinjasta toiseen joko tietoliikenneverkon tai Internetin kautta ohjelmistovälineillä kokonaan perinteisemmän tavan sijaan, luottaen tarkoitukseen rakennettuun elektroniseen laitteistoon.

Vaikka erityinen hyökkäysvektori, jota käytetään SDRThiefin hyppäämiseen kohdennettuihin järjestelmiin, ei ole vielä tiedossa, uhkan kompromissin jälkeistä käyttäytymistä on analysoitu. CDRThief on suunniteltu keräämään tietoja vain kahdesta Softswitch-ohjelmasta - VOS2009 ja VOS3000 , jotka on kehittänyt kiinalainen Linknat-yritys. Kun haittaohjelma on otettu käyttöön järjestelmässä, jossa on jompikumpi Softswitch-ohjelmista, se etsii Linknat-määritystiedostoja kerätäkseen MySQL-tietokannan tunnistetiedot. Vaikka tietokannan salasana on tallennettu salatussa muodossa, CDRThief pystyy lukemaan ja purkamaan sen. Tämä on todiste siitä, että hakkereilla on läheinen tieto VoIP-ohjelmistosektorista ja erityisesti Linknatin sisäisestä toiminnasta, koska heidän oli joko suunniteltava ohjelmien binäärit tai tehtävä tarkkoja tietoja AES-salausalgoritmista ja avaimesta muilla menetelmillä.

Saatuaan tunnistetiedot onnistuneesti, CDRThief muodostaa yhteyden MySQL-tietokantaan ja suorittaa SQL-kyselyitä puhelutietueiden (VoIP-metatiedot) keräämiseksi. Kaikki kerätyt tiedot välitetään sitten etäpalvelimelle rikollisten valvonnassa.

CDRThiefin tarkkaa tarkoitusta ei vielä tunneta, mutta sen toimivuuden perusteella tutkijat spekuloivat, että sitä voidaan käyttää joko verkko-vakoilutoimintaan tai osana IRSF-järjestelmää (International Revenue Share Fraud, IRSF), jossa hyödynnetään palkkio-puhelinnumeroita. tuottaa rahallista hyötyä.