CDRThief

CDRThief je poseben del zlonamerne programske opreme, ki so jo raziskovalci nedavno odkrili. CDRThief je usmerjen na strežnike s sistemom Linux in poskuša zbrati podatke iz dveh posebnih programskih stikal za VoIP (Voice-over-IP). Programska stikala se uporabljajo za povezovanje telefonskih klicev z ene telefonske linije na drugo bodisi prek telekomunikacijskega omrežja bodisi prek interneta s programskimi sredstvi, namesto na bolj tradicionalen način, pri čemer se zanašajo na namensko izdelano elektronsko strojno opremo.

Čeprav specifični vektor napada, ki se uporablja za prikrivanje SDRThiefa na ciljne sisteme, ostaja neznan, je analizirano vedenje grožnje po kompromisu. CDRThief je zasnovan za pridobivanje podatkov iz samo dveh programov Softswitch - VOS2009 in VOS3000 , ki jih je razvilo kitajsko podjetje Linknat. Po namestitvi v sistem, v katerem se izvaja kateri koli program Softswitch, zlonamerna programska oprema začne iskati konfiguracijske datoteke Linknat za zbiranje poverilnic baze podatkov MySQL. Čeprav je geslo za bazo podatkov shranjeno v šifrirani obliki, ima CDRThief možnost branja in dešifriranja. To je dokaz, da hekerji, ki stojijo za grožnjo, dobro poznajo programski sektor VoIP in notranje delovanje Linknata, zlasti ker so morali bodisi preusmeriti dvojiške programe bodisi pridobiti posebne informacije o algoritmu šifriranja AES in ključu. z drugimi metodami.

Po uspešnem pridobivanju poverilnic se CDRThief poveže z bazo podatkov MySQL in zažene poizvedbe SQL za zbiranje podrobnosti o zapisu klicev (metapodatki VoIP). Vse zbrane informacije se nato pošljejo na oddaljeni strežnik pod nadzorom kriminalcev.

Natančen namen CDRThief ostaja neznan, vendar sodeč po njegovi funkcionalnosti raziskovalci domnevajo, da se lahko uporablja bodisi za kibernetsko vohunjenje bodisi kot del sheme International Revenue Share Fraud (IRSF), ki izkorišča obstoj premium telefonskih številk za ustvarjajo denarne dobičke.