Výskumníci zo spoločnosti Check Point Software Technologies odhalili dlhodobo prebiehajúcu podvodnú operáciu hackerov z Pásma Gazy, Západného brehu Jordánu a Egypta.
Útočníci, ktorí sú aktívni v dedikovaných facebookových skupinách, cielili na takzvaný Asterisk.
Ide o jeden zo svetovo najpopulárnejších podnikových telefónnych systémov VoIP (prenos hlasu internetovým protokolom), ktorý je založený na signalizačnom protokole SIP (Session Initiation Protocol).
Medzi obete tejto globálnej kampane, ktorá podľa výskumníkov trvala minimálne 12 mesiacov, patrí takmer 1200 organizácií z celého sveta.
Hodnotná zraniteľnosť
Problémom sa stalo zneužitie kritickej zraniteľnosti CVE-2019-19006 v Sangoma PBX, open-source užívateľskom rozhraní, ktoré slúži na kontrolovanie a spravovanie Asterisk. Zraniteľnosť sa podľa výskumnej správy konkrétne týkala rozhrania FreePBX.
Útok začína so SIPVicious, populárnou sadou nástrojov pre auditovanie VoIP systémov založených na SIP. Útočník používa svmap modul na skenovanie internetu hľadajúc SIP systémy so zraniteľnými FreePBX verziami.
Takýto zisk kontroly nad VoIP telefónnymi systémami umožňuje hneď viacero spôsobov ich zneužitia.
Na základe výsledkov výskumu mal byť hlavným zámerom útočníkov predaj telefónnych čísel, plánov hovorov i živých prístupov ku kompromitovaným VoIP službám jednotlivých organizácií.
Útočník mohol odpočúvať legitímne hovory či využiť napadnuté systémy na ďalšie útoky, napríklad na cryptomining.
Zlatá baňa
Komplexným a „zaujímavým“ spôsobom zneužitia napadnutých VoIP systémov je takzvaný International Revenue Share Fraud (IRSF).
Bez vedomia spoločnosti, ktorá kompromitovaný VoIP systém používa, môže útočník iniciovať telefonát na takzvané International Premium Rate Numbers (IPRN).
Toto označenie odkazuje na špecializované telefónne čísla vlastnené podnikmi, ktoré ich používajú na ponúkanie rôznych služieb za poplatok. Telefonát na takéto číslo môže viesť k vysokému poplatku, z ktorého značná časť putuje k danému podniku.
Útočník s vlastným IPRN číslom, ktorý naň prostredníctvom napadnutého VoIP systému spoločnosti volá, si tak môže finančne značne prilepšiť.
Používanie IPRN programov umožňuje hackerovi nie len uskutočňovať hovory, ale aj zneužívať SIP servery na generovanie ziskov. Čím viac serverov je zneužitých, tým viac hovorov na IPRN je možné uskutočniť.
Najviac postihnutých podnikov sa nachádazlo vo Veľkej Británii – až 631. Medzi napadnutými sa objavilo aj 12 firiem zo susednej Českej republiky.
Pozor na aktualizácie
IRSF určite nemožno považovať za novú prax. Naopak, ide o jeden z najodolnejších problémov telekomunikačného priemyslu.
Ako pre portál BetaNews poznamenal Derek Middlemiss zo spoločnosti Check Point ST:
Takýto kybernetický podvod je rýchly spôsob, ako zarobiť veľké sumy peňazí.
„Hackeri vytvárajú skupiny na sociálnych sieťach pre zdieľanie poznatkov, technického know-how a inzerciu svojich trofejí. Týmto spôsobom sa hackeri z Gazy, Západného brehu Jordánu a Egypta dokázali zorganizovať do globálnej operácie kybernetického podvodu.“
Middlemiss ďalej upozorňuje: „Očakávam, že tento fenomén pretrvá aj v roku 2021. Dôrazne vyzývame organizácie, ktoré používajú VoIP systémy, aby sa ubezpečili, že implementovali najnovšie opravy.“
Kristína Žaková