CDRThief
CDRThief is een eigenaardig stukje malware dat onlangs door de onderzoekers is ontdekt. CDRThief richt zich op Linux-gebaseerde servers en probeert gegevens te verzamelen van twee specifieke Voice-over-IP (VoIP) -softwareswitches. Softswitches worden gebruikt om telefoongesprekken van de ene telefoonlijn naar de andere te verbinden, hetzij via een telecommunicatienetwerk of het internet met softwaremiddelen, geheel in plaats van op de meer traditionele manier, waarbij wordt vertrouwd op speciaal gebouwde elektronische hardware.
Hoewel de specifieke aanvalsvector die wordt gebruikt om SDRThief naar de beoogde systemen te sluipen, onbekend blijft, is het post-compromisgedrag van de dreiging geanalyseerd. CDRThief is ontworpen om gegevens te extraheren uit slechts twee Softswitch-programma's - VOS2009 en VOS3000 , ontwikkeld door het Chinese bedrijf Linknat. Na te zijn geïmplementeerd op een systeem waarop een van de Softswitch-programma's wordt uitgevoerd, begint de malware te scannen naar Linknat-configuratiebestanden om de inloggegevens van de MySQL-database te verzamelen. Hoewel het wachtwoord voor de database in een gecodeerde vorm wordt opgeslagen, heeft CDRThief de mogelijkheid om het te lezen en te decoderen. Dit is het bewijs dat de hackers achter de dreiging een grondige kennis hebben van de VoIP-softwaresector en de interne werking van Linknat, in het bijzonder omdat ze ofwel de binaire bestanden van de programma's moesten reverse-engineeren of specifieke informatie moesten verkrijgen over het AES-coderingsalgoritme en -sleutel. door andere methoden.
Nadat de inloggegevens met succes zijn verkregen, maakt CDRThief verbinding met de MySQL-database en voert SQL-query's uit om gespreksrecorddetails (VoIP-metadata) te verzamelen. Alle verzamelde informatie wordt vervolgens doorgestuurd naar een externe server die onder controle staat van de criminelen.
Het exacte doel van CDRThief blijft onbekend, maar te oordelen naar de functionaliteit, speculeren de onderzoekers dat het kan worden gebruikt voor cyberspionageactiviteiten of als onderdeel van het International Revenue Share Fraud (IRSF) -programma, dat gebruik maakt van het bestaan van premium telefoonnummers om geldwinsten genereren.
