CDRThief
CDRThief ist eine eigenartige Malware, die kürzlich von den Forschern entdeckt wurde. CDRThief zielt auf Linux-basierte Server ab und versucht, Daten von zwei bestimmten VoIP-Software-Switches (Voice-over-IP) zu erfassen. Softswitches werden verwendet, um Telefonanrufe von einer Telefonleitung zur anderen zu verbinden, entweder über ein Telekommunikationsnetz oder das Internet, und zwar ausschließlich auf herkömmliche Weise mithilfe von Software, die auf speziell entwickelter elektronischer Hardware basiert.
Obwohl der spezifische Angriffsvektor, der verwendet wird, um SDRThief auf die Zielsysteme zu schleichen, unbekannt bleibt, wurde das Verhalten der Bedrohung nach der Infektion analysiert. CDRThief wurde entwickelt, um Daten aus nur zwei Softswitch-Programmen zu extrahieren die von der chinesischen Firma Linknat entwickelt wurden - VOS2009 und VOS3000. Nach der Bereitstellung auf einem System, auf dem eines der Softswitch-Programme ausgeführt wird, sucht die Malware nach Linknat-Konfigurationsdateien, um die Anmeldeinformationen der MySQL-Datenbank zu erfassen. Obwohl das Kennwort für die Datenbank verschlüsselt gespeichert ist, kann CDRThief es lesen und entschlüsseln. Dies ist ein Beweis dafür, dass die Hacker, die hinter der Bedrohung stehen, den VoIP-Softwaresektor und das Innenleben von Linknat genau kennen, insbesondere weil sie entweder die Binärdateien der Programme zurückentwickeln können oder spezifische Informationen über den AES-Verschlüsselungsalgorithmus und den Schlüssel durch andere Methoden erhalten.
Nach erfolgreichem Abrufen der Anmeldeinformationen stellt CDRThief eine Verbindung zur MySQL-Datenbank her und führt SQL-Abfragen aus, um Anrufdatensatzdetails (VoIP-Metadaten) zu erfassen. Alle gesammelten Informationen werden dann unter der Kontrolle der Kriminellen an einen Remote-Server übertragen.
Der genaue Zweck von CDRThief ist unbekannt, aber nach seiner Funktionalität spekulieren die Forscher, dass es entweder für Cyberspionageaktivitäten oder als Teil des IRSF-Programms (International Revenue Share Fraud) verwendet werden kann, das die Existenz von Premium-Telefonnummern ausnutzt Geldgewinne generieren.
