Οι ερευνητές ανακάλυψαν μια νέα απειλή που ονόμασαν CDRThief που έχει ως στόχο ένα σύστημα VoIP και προσπαθεί να κλέψει τα records των δεδομένων κλήσεων (CDR).

Η ανάλυση του malware αποκάλυψε ότι δημιουργήθηκε ειδικά για μια συγκεκριμένη πλατφόρμα Linux VoIP, συγκεκριμένα τα Linknat VOS2009 / 3000 softswitches (software switches).

Το softswitch είναι ένα software που λειτουργεί ως server VoIP που διαχειρίζεται την κυκλοφορία (ήχος / βίντεο / κείμενο) σε ένα δίκτυο τηλεπικοινωνιών. Είναι ένα κεντρικό element που εξασφαλίζει τη σύνδεση μεταξύ εσωτερικών και εξωτερικών γραμμών.

Ο σκοπός του CDRThief είναι να θέσει σε κίνδυνο το λογισμικό VOS2009 / 3000 και να κλέψει metadata κλήσεων από εσωτερικές βάσεις δεδομένων MySQL. Τα metadata είναι για παράδειγμα διευθύνσεις IP των καλούντων, τηλεφωνικοί αριθμοί, ώρα έναρξης και διάρκεια των κλήσεων, τη διαδρομή και τον τύπο της.

Αναλύοντας το malware, οι ερευνητές της ESET διαπίστωσαν ότι προσπάθησε να συγκαλύψει την κακόβουλη λειτουργικότητα χρησιμοποιώντας το κρυπτογραφημένο Corrected Block TEA (XXTEA) και στη συνέχεια να τρέξει κωδικοποίηση Base64 σε ύποπτα links.

Παρόλο που η πρόσβαση στη βάση δεδομένων MySQL προστατεύεται με κωδικό πρόσβασης και το κλειδί είναι κρυπτογραφημένο στο αρχείο διαμόρφωσης, το CDRThief μπορεί να το διαβάσει και να το αποκρυπτογραφήσει, δείχνοντας ότι όποιος το ανέπτυξε γνωρίζει πολύ καλά την πλατφόρμα.

Από τις λειτουργίες του malware, οι ερευνητές διαπίστωσαν ότι το CDRThief ενδιαφέρεται για πίνακες που περιέχουν αρχεία καταγραφής συμβάντων συστήματος, πληροφορίες για πύλες VoIP και metadata κλήσεων.

Το malware παραδίδει τις πληροφορίες σε έναν command and control (C2) server χρησιμοποιώντας JSON μέσω HTTP αφού τις συμπιέσει και τις κρυπτογραφήσει με ένα δημόσιο κλειδί RSA-1024 με κωδικό.

Η ανάλυση αποκάλυψε ότι το CDRThief μπορεί να ξεκινήσει από οποιαδήποτε θέση στο δίσκο, χρησιμοποιώντας οποιοδήποτε όνομα αρχείου.

Δεν είναι ξεκάθαρο πώς επιτυγχάνεται το persistence, αλλά οι ερευνητές λένε ότι η παραπάνω εντολή υποδηλώνει ότι το κακόβουλο λογισμικό μπορεί να εισαχθεί στην αλυσίδα εκκίνησης της πλατφόρμας, και μάλλον μεταμφιέζεται ως «Linknat softswitch component».

Με βάση τις τρέχουσες παρατηρήσεις της ανάλυσης, το CDRThief μπορεί να χρησιμοποιηθεί για επιχειρήσεις κατασκοπείας στον κυβερνοχώρο ή απάτες VoIP.