Organizace v ČR a dalších zemích terčem hackerů z Gazy, Západního břehu Jordánu a Egypta
06.11.2020
Organizace v ČR a dalších zemích terčem hackerů z Gazy, Západního břehu Jordánu a Egypta
  • Více než 10 000 detekovaných útoků od začátku roku 2020
  • Hackeři podle odhadů vydělali stovky tisíc dolarů
  • VoIP PBX hacking patří mezi 5 nejčastějších telekomunikačních podvodů, které celosvětově dosahují hodnoty 28 miliard dolarů, vyplývá to z dat organizace CFCA (Communications Fraud Control Association)


Check Point Research upozorňuje na vlnu kybernetických podvodů, za kterými stojí hackeři z Gazy, Západního břehu Jordánu a Egypta. Hackeři už napadli více než 1200 organizací z více než 60 zemí, včetně České republiky. Útočníci se snaží zneužít zranitelnosti ve VoIP serverech a následně prodávají automaticky generované hovory nebo volají na prémiová, placená, čísla. Navíc využívají facebookové skupiny k propagaci svých služeb a sdílení podrobných návodů a šíření útoků.

VoIP je technologie, která umožňuje hlasové hovory pomocí širokopásmového připojení k internetu. Například WhatsApp využívá pro volání právě VoIP technologii. A hackeři se snaží přístup k VoIP serveru napadené organizace zpeněžit.

Útoky mají tři fáze:

1. Hackeři systematicky vyhledávají VoIP systémy, které mohou být zranitelné.
2. Pro útoky na vybrané VoIP systémy jsou využívány různé zranitelnosti, nejedná se o jeden typ útoku.
3. Přístup k napadeným systémům je následně zpeněžen a hackeři dále prodávají automaticky generované hovory nebo volají na prémiová či placená čísla.

Útočníci navíc prodávají dalším kyberzločincům telefonní čísla, plány hovorů a živý přístup k VoIP službám napadených organizací. V některých případech hackeři také odposlouchávali hovory v organizacích.

Návody a propagace útočných nástrojů na Facebooku

Hackeři využívají sociální sítě k propagaci útočných metod, sdílení hackerských zdrojů a vzdělávání ostatních útočníků. Na Facebooku vytvořili několik soukromých skupin, ve kterých sdílejí technické informace, jak konkrétní útoky provést, včetně podrobných průvodců a výukových programů. Nejaktivnější je skupina „voip__sip__inje3t0r3_seraj“.

AEC
 Facebookové příspěvky propagující hackovací techniky

 

AEC
Videonávod, jak hacknout VOIP server

Odhalení operace INJ3CTOR3

Check Point detekoval podezřelé aktivity související se zneužíváním VoIP systémů. Detailnější analýza odhalila novou kampaň, kterou Check Point nazval operace INJ3CTOR3 a která se zaměřuje na open-source webové GUI Sangoma PBX (https://www.sangoma.com/pbx/) pro správu Asterisk. Asterisk je světově nejpopulárnější telefonní VoIP systém používaný mnoha organizacemi z žebříčku Fortune 500 pro národní a mezinárodní telekomunikaci. Útok zneužívá kritickou zranitelnost CVE-2019-19006 (https://nvd.nist.gov/vuln/detail/CVE-2019-19006), která umožňuje získat administrátorský přístup do systému a poskytuje kontrolu nad jeho funkcemi.

Napadené organizace

Nejčastěji byly zasažené organizace z Velká Británie, Nizozemska, Belgie, USA a Kolumbie. Terčem byly především vládní a armádní organizace, pojišťovny, finanční a výrobní společnosti. Ale terčem jsou i organizace z dalších zemí, včetně České republiky, mezi napadené státy patří také Německo, Francie, Indie, Itálie, Brazílie, Kanada, Turecko, Austrálie, Rusko, Švýcarsko, Portugalsko, Dánsko, Švédsko a Mexiko.

Jak se mohou organizace chránit?

  • Pravidelně analyzujte účty za hovory. Zaměřte se na destinace, objem provozu a podezřelé vzorce - zejména u čísel s prémiovou sazbou.
  • Analyzujte vzorce u mezinárodních hovorů a ujistěte se, že se skutečně jednalo o legitimní hovory.
  • Používejte hesla a dodržujte související bezpečnostní zásady. Také nezapomeňte změnit výchozí hesla.
  • Zaměřte se na podezřelé hovory mimo běžnou pracovní dobu.
  • Zrušte nepotřebné hlasové zprávy.
  • Záplatujte zranitelnost CVE-2019-19006 (https://nvd.nist.gov/vuln/detail/CVE-2019-19006), kterou hackeři zneužívají.
  • Implementujte systémy prevence narušení, které dokážou detekovat a zabránit pokusům o zneužití slabých míst v zranitelných systémech nebo aplikacích a chrání vás před nejnovějšími hrozbami.


„Vidíme fenomén hackerů využívajících sociální sítě. Šíří po nich útočné nástroje, návody a snaží se dále zpeněžit své hackerské aktivity. Kyberzločinci z Gazy, Západního břehu Jordánu a Egypta tímto způsobem rozšířili útoky po celém světě a rychle si vydělali vysoké částky. Očekáváme, že v dalším roce se situace ještě zhorší. Všechny organizace, které používají VoIP systémy, by se měly ujistit, že mají nejnovější aktualizace a záplaty a používají pokročilá preventivní bezpečnostní opatření. Případný úspěšný útok totiž může být velmi nákladný,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point

Bezpečnosti mobilní komunikace a vzdálené práce v době koronavirové, zabezpečení nemocnic před kyberútoky nebo ochraně finančních společností a cloudových, mobilních a IoT prostředí se budou experti věnovat na největší české kyberbezpečnostní události roku, konferenci Check Point: <SECURE>, která proběhne 11. 11. 2020 od 9:00. Více informací najdete na stránce:
https://virtual-czech.checkpoint.com/

Více o útočné operaci INJ3CTOR3 najdete v analýze kyberbezpečnostního týmu Check Point Research:
https://research.checkpoint.com/2020/inj3ctor3-operation-leveraging-asterisk-servers-for-monetization/