El objetivo del nuevo malware conocido como CDRThief son los servidores basados en Linux y su propósito es recopilar datos de dos plataformas VoIP que utilizan switches por software (softswitch) fabricados en China: Linknat VOS2009 y VOS3000.
Aunque el vector de ataque específico utilizado para infiltrar SDRThief en los sistemas objetivo sigue siendo desconocido, se ha analizado el comportamiento posterior al compromiso de la amenaza.
Anton Cherepanov, investigador de ESET afirma “Es complicado saber cuál es el propósito final de los atacantes que utilizan este malware, pero, como hemos visto que extrae información sensible –incluyendo metadatos de las llamadas-, parece razonable pensar que se utiliza como método de ciberespionaje. Otro posible fin es que se esté utilizando para cometer fraude con líneas VoIP, ya que al conseguir información sobre la actividad de los softswitches y sus gateways, se puede cometer fraude en la facturación. CDRThief incluye metadatos sobre las llamadas VoIP realizadas, como la dirección IP de los interlocutores, hora de inicio de la llamada, duración o tarifas, entre otros”.
Se supone que los piratas informáticos pueden acceder a los dispositivos mediante la fuerza bruta o algunas vulnerabilidades antiguas (se han informado errores en VOS2009 y VOS3000 en el pasado). Después de infiltrarse en un servidor Linux, el malware busca los archivos de configuración de Linknat y recupera las credenciales de la base de datos MySQL donde el interruptor de software almacena la información de las llamadas (metadatos de llamadas VoIP). Después de eso, el malware se conecta a la base de datos MySQL y ejecuta consultas SQL para recopilar metadatos, que finalmente se transmiten al servidor remoto. Aunque la contraseña de la base de datos se almacena en forma cifrada, CDRThief tiene la capacidad de leerla y descifrarla. Esto es evidencia de que los piratas informáticos detrás de la amenaza tienen un conocimiento profundo del sector del software de VoIP y del funcionamiento interno de Linknat, en particular, porque tuvieron que aplicar ingeniería inversa a los binarios de los programas u obtener información específica sobre el algoritmo y la clave de cifrado AES.
