CDRThief

CDRThief je neobičan zlonamjerni softver koji su nedavno otkrili istraživači. CDRThief cilja poslužitelje sa sustavom Linux i pokušava prikupiti podatke s dva specifična softverska preklopnika Voice-over-IP (VoIP). Softverski prekidači koriste se za povezivanje telefonskih poziva s jedne telefonske linije na drugu, bilo putem telekomunikacijske mreže ili Interneta, softverskim sredstvima u potpunosti umjesto na tradicionalniji način, oslanjajući se na elektronički hardver namijenjen za to.

Iako određeni vektor napada koji se koristi za prikrivanje SDRThief-a na ciljane sustave ostaje nepoznat, analizirano je postkompromisno ponašanje prijetnje. CDRThief je dizajniran za izdvajanje podataka iz samo dva programa Softswitch - VOS2009 i VOS3000 , koje je razvila kineska tvrtka Linknat. Nakon postavljanja na sustav koji izvodi bilo koji od programa Softswitch, zlonamjerni softver započinje skeniranje konfiguracijskih datoteka Linknat kako bi prikupio vjerodajnice baze podataka MySQL. Iako je lozinka za bazu podataka pohranjena u šifriranom obliku, CDRThief ima mogućnost čitanja i dešifriranja. To je dokaz da hakeri koji stoje iza prijetnje imaju blisko znanje o softverskom sektoru VoIP i posebno o unutarnjem radu Linknata, jer su morali ili preusmjeriti inžinjering binarnih programa ili dobiti određene informacije o algoritmu i ključu AES šifriranja. drugim metodama.

Nakon uspješnog dobivanja vjerodajnica, CDRThief se povezuje s MySQL bazom podataka i izvodi SQL upite za prikupljanje detalja o zapisima poziva (VoIP metapodaci). Svi prikupljeni podaci potom se prenose na udaljeni poslužitelj pod nadzorom kriminalaca.

Točna svrha CDRThief-a ostaje nepoznata, ali sudeći po njegovoj funkcionalnosti, istraživači nagađaju da se može koristiti ili za cyber-špijunažu ili kao dio sheme International Revenue Share Fraud (IRSF), koja iskorištava postojanje premium telefonskih brojeva generirati novčane dobitke.