CDRThief
CDRThief es una pieza peculiar de malware descubierto recientemente por los investigadores. CDRThief tiene como objetivo los servidores basados en Linux e intenta recopilar datos de dos conmutadores de software de voz sobre IP (VoIP) específicos. Los softswitches se utilizan para conectar llamadas telefónicas de una línea telefónica a otra, ya sea a través de una red de telecomunicaciones o Internet por medios de software en lugar de la forma más tradicional, confiando en hardware electrónico especialmente diseñado.
Aunque el vector de ataque específico utilizado para infiltrar SDRThief en los sistemas objetivo sigue siendo desconocido, se ha analizado el comportamiento posterior al compromiso de la amenaza. CDRThief está diseñado para extraer datos de solo dos programas Softswitch: VOS2009 y VOS3000 , desarrollados por la empresa china Linknat. Después de ser implementado en un sistema que ejecuta cualquiera de los programas Softswitch, el malware comienza a buscar archivos de configuración de Linknat para recopilar las credenciales de la base de datos MySQL. Aunque la contraseña de la base de datos se almacena en forma cifrada, CDRThief tiene la capacidad de leerla y descifrarla. Esto es evidencia de que los piratas informáticos detrás de la amenaza tienen un conocimiento profundo del sector del software de VoIP y del funcionamiento interno de Linknat, en particular, porque tuvieron que aplicar ingeniería inversa a los binarios de los programas u obtener información específica sobre el algoritmo y la clave de cifrado AES. por otros métodos.
Después de obtener las credenciales con éxito, CDRThief se conecta a la base de datos MySQL y ejecuta consultas SQL para recopilar los detalles del registro de llamadas (metadatos de VoIP). Toda la información recopilada se transmite luego a un servidor remoto bajo el control de los delincuentes.
El propósito exacto de CDRThief sigue siendo desconocido, pero a juzgar por su funcionalidad, los investigadores especulan que puede usarse para actividades de ciberespionaje o como parte del esquema de Fraude Internacional de Revenue Share (IRSF), que explota la existencia de números de teléfono premium para generar ganancias monetarias.
