CDRThief

CDRThief est un logiciel malveillant particulier découvert récemment par les chercheurs. CDRThief cible les serveurs Linux et tente de collecter des données à partir de deux commutateurs logiciels Voice-over-IP (VoIP) spécifiques. Les commutateurs logiciels sont utilisés pour connecter les appels téléphoniques d'une ligne téléphonique à une autre, soit via un réseau de télécommunication, soit via Internet par des moyens logiciels entièrement au lieu de la manière plus traditionnelle, en s'appuyant sur du matériel électronique spécialement conçu.

Bien que le vecteur d'attaque spécifique utilisé pour faufiler SDRThief sur les systèmes ciblés reste inconnu, le comportement post-compromis de la menace a été analysé. CDRThief est conçu pour extraire les données de seulement deux programmes Softswitch - VOS2009 et VOS3000 , développés par la société chinoise Linknat. Après avoir été déployé sur un système exécutant l'un des programmes Softswitch, le malware commence à rechercher les fichiers de configuration de Linknat pour collecter les informations d'identification de la base de données MySQL. Bien que le mot de passe de la base de données soit stocké sous une forme chiffrée, CDRThief a la capacité de le lire et de le déchiffrer. Cela prouve que les pirates informatiques à l'origine de la menace ont une connaissance approfondie du secteur des logiciels VoIP et du fonctionnement interne de Linknat, en particulier, car ils devaient soit procéder à l'ingénierie inverse des binaires des programmes, soit obtenir des informations spécifiques sur l'algorithme et la clé de cryptage AES. par d'autres méthodes.

Après avoir obtenu les informations d'identification avec succès, CDRThief se connecte à la base de données MySQL et exécute des requêtes SQL pour collecter les détails de l'enregistrement d'appel (métadonnées VoIP). Toutes les informations collectées sont ensuite transmises à un serveur distant sous le contrôle des criminels.

Le but exact de CDRThief reste inconnu, mais à en juger par sa fonctionnalité, les chercheurs pensent qu'il peut être utilisé pour des activités de cyberespionnage ou dans le cadre du programme International Revenue Share Fraud (IRSF), qui exploite l'existence de numéros de téléphone premium pour générer des gains monétaires.