Nawet 1200 organizacji zagrożonych. Efekt ataku hakerów z Bliskiego Wschodu
Hakerzy z Gazy, Zachodniego Brzegu oraz Egiptu zaatakowali popularne systemy komunikacji VoIP – ujawnił Check Point Research. Ofiarami ataków są systemy telefoniczne Sangoma oraz Asterisk VoIP, wykorzystywane przez 1200 organizacji, w 60 krajach świata, w tym przez korporacje z listy Fortune 500. Zdaniem Check Pointa oszustwa w głównej mierze dotyczyły firm i administracji z Wielkiej Brytanii, Holandii, Belgii i USA
Badacze bezpieczeństwa z Check Point Software Technologies odkryli trwającą operację cyber-oszustwa prowadzoną przez hakerów z Gazy, Zachodniego Brzegu i Egiptu, która w ciągu ostatnich 12 miesięcy mogła wpłynąć na 1200 organizacji na całym świecie. Wykorzystując grupy zakładane w mediach społecznościowych do dzielenia się swoimi zasobami i technikami, hakerzy systematycznie atakują serwery Voice-over-IP (VoIP) różnych organizacji w celu uzyskania intruzywnego dostępu. Po włamaniu cyberprzestępcy zarabiają na nim, sprzedając automatycznie generowane połączenia lub zmuszając systemy do dzwonienia na numery Premium w celu pobierania opłat.
Według CFCA (Stowarzyszenie Kontroli Oszustw Komunikacyjnych) hakowanie VoIP PBX jest jedną z 5 najczęstszych metod oszust telekomunikacyjnych, natomiast globalne straty spowodowane różnymi rodzajami tego typu oszustw sięgają łącznie nawet 28 mld dolarów!
Zdaniem analityków Check Pointa najczęściej wykorzystywanymi organizacjami w opisanej kampanii były firmy, rządy oraz instytucje wojskowe z Wielkiej Brytanii (52%), Holandii (21%), Belgii (15%) i USA (7%). Inne potwierdzone kraje, których systemy zaatakowali cyberprzestępcy to Kolumbia, Niemcy, Francja, Indie, Włochy, Brazylia, Kanada, Turcja, Australia, Rosja, Szwajcaria, Czechy, Portugalia, Dania, Szwecja i Meksyk.
Jak na razie nie potwierdzono ataku na jakikolwiek system VoIP wykorzystywany przez polskie organizacje, choć z usług telefonii VoIP korzysta w Polsce ponad 2,5 mln użytkowników – wynika z raportu Urzędu Komunikacji Elektronicznej. Łączne przychody z usług VoIP wyniosły w 2019 roku blisko 300 mln zł, natomiast wiodącą rolę na rynku pełni operator Orange, który w 2019 r. świadczył tego typu usługi dla ponad 59 proc. polskich użytkowników.
- Operacja oszustwa cybernetycznego to szybki sposób na szybkie zarobienie dużych sum pieniędzy. Mówiąc szerzej, w tym roku obserwujemy powszechne zjawisko polegające na tym, że hakerzy używają mediów społecznościowych do skalowania hakowania i zarabiania na systemach VoIP. Hakerzy tworzą dedykowane grupy w mediach społecznościowych, aby dzielić się spostrzeżeniami, wiedzą techniczną i reklamować swoje możliwości. W ten sposób hakerzy z Gazy, Zachodniego Brzegu i Egiptu byli w stanie zorganizować się, aby skalować globalną operację oszustwa cybernetycznego. – komentuje odkrycie Adi Ikan, szef Network Cyber Security Research w Check Point Research.
Jak wygląda metoda ataku?
VoIP to technologia umożliwiająca wykonywanie połączeń głosowych przy użyciu szerokopasmowego łącza internetowego zamiast zwykłej linii telefonicznej. Przykładem mogą być połączenia wykonywane przez komunikator WhatsApp. Jak twierdzi Adi Ikan metoda hakerów składa się z trzech kroków:
- Hakerzy systematycznie skanują systemy VoIP, które mogą być podatne na ataki
- Następnie atakują wybrane systemy VoIP, wykorzystując różne luki w zabezpieczeniach
- Hakerzy zarabiają na swoim dostępie do włamywanych systemów, sprzedając połączenia, które mogą automatycznie generować dla danego dostępu, lub zmuszają system do dzwonienia pod numery premium pobierające opłaty.
Co więcej, hakerzy sprzedają numery telefonów, plany połączeń i dostęp na żywo do shakowanych usług VoIP organizacji, które inne podmioty mogą wykorzystać do własnych celów. Zdaniem specjalistów cyberbezpieczeństwa hakerzy mogli również podsłuchiwać niektóre z organizacji.
Jak natrafiono na trop cyberprzestępców? Badacze bezpieczeństwa cybernetycznego zaczęli dostrzegać podejrzaną aktywność związaną z exploitami VoIP za pośrednictwem czujników w ThreatCloud, silniku analizy zagrożeń należącym do firmy Check Point. Dokładniejsze badanie doprowadziło do odkrycia nowej kampanii, którą naukowcy nazwali operacją INJ3CTOR3, skierowanej na Sangoma PBX, internetowy interfejs graficzny typu open source, który zarządza Asterisk.
Asterisk to najpopularniejszy na świecie system telefoniczny VoIP, używany przez wiele firm z listy Fortune 500 w krajowej i międzynarodowej telekomunikacji. Atak wykorzystuje lukę krytyczną w Sangoma PBX (CVE-2019-19006), która pozwala atakującemu uzyskać dostęp administratora. Eksperci Check Pointa udokumentowali w pierwszej połowie 2020r. liczne próby ataków wykorzystujące powyższy schemat.
Czytaj też: Instytucje finansowe wzmacniają ochronę przed cyberatakami
Mat.Pras./KG