Check Point Research ontdekt aanhoudende cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte

6 november 2020

Bevei­li­gings­on­der­zoe­kers bij Check Point ontdekten aanhou­dende acti­vi­teiten van cyber­fraude onder leiding van hackers in Gaza, de Weste­lijke Jordaan­oever en Egypte die in de afgelopen 12 maanden wereld­wijd meer dan 1200 orga­ni­sa­ties hebben getroffen. De hackers maken gebruik van groepen op sociale media om samen te werken. Zo vallen ze syste­ma­tisch de VoIP-servers (voice-over-IP) van gevi­seerde orga­ni­sa­ties aan om in te breken. Zodra ze binnen zijn, maken de hackers van die toegang gebruik om auto­ma­tisch gege­ne­reerde oproepen te verkopen en/​of systemen te dwingen premi­um­num­mers te bellen om vergoe­dingen te innen.

De aanvalsmethode uitgelegd

VoIP is een tech­no­logie waarmee iemand kan bellen via een breed­band­in­ter­net­ver­bin­ding in plaats van een gewone tele­foon­lijn. Oproepen via WhatsApp maken bijvoor­beeld gebruik van VoIP-tech­no­logie. In dit onderzoek maken de hackers winst door ‘in te bellen’ nadat ze zich toegang hebben verschaft tot de VoIP-server van een gevi­seerde orga­ni­satie. Adi Ikan, onder­zoeker bij Check Point, vatte de aanvals­me­thode samen in drie stappen:

  • Hackers scannen syste­ma­tisch VoIP-systemen die kwetsbaar kunnen zijn.
  • Hackers vallen gese­lec­teerde VoIP-systemen aan door misbruik te maken van verschil­lende kwetsbaarheden.
  • Hackers slaan munt uit hun toegang tot deze gekraakte systemen door auto­ma­tisch gege­ne­reerde oproepen te verkopen of door het systeem te dwingen premi­um­num­mers te bellen die vergoe­dingen innen.

Daarnaast verkopen de hackers tele­foon­num­mers, belplannen en live toegang tot gekraakte VoIP-diensten van gevi­seerde orga­ni­sa­ties aan de hoogste bieder, die deze diensten daarna voor zijn eigen doel­einden kan misbruiken. In sommige gevallen luisteren de hackers de gesprekken van die orga­ni­sa­ties zelfs af.

Handleidingen voor misbruik op Facebook

De hackers gebruiken sociale media om réclame te maken voor hun exploits, hacking­mid­delen te delen en kennis uit te wisselen. Op Facebook hebben de hackers verschil­lende besloten groepen aange­maakt, waarin ze tech­ni­sche infor­matie delen over hoe speci­fieke aanvallen moeten worden uitge­voerd, inclusief stap-voor-stap richt­lijnen en handleidingen.

Hoe de onderzoekers dit hebben ontdekt

De onder­zoe­kers van Check Point stelden een verdachte acti­vi­teit vast die verband hield met VoIP-exploits via sensoren in Thre­at­Cloud, Check Point’s engine voor infor­matie over bedrei­gingen. Verder onderzoek leidde tot de ontdek­king van een nieuwe campagne, die van de onder­zoe­kers de naam ‘INJ3CTOR3’ kreeg, gericht op Sangoma PBX, een open-source, web-GUI die Asterisk beheert. Asterisk is ‘s werelds popu­lairste VoIP-tele­foon­sys­teem voor bedrijven, dat door veel Fortune 500-bedrijven wordt gebruikt voor hun nationale en inter­na­ti­o­nale tele­com­mu­ni­catie. De aanval misbruikt CVE-2019–19006, een kritieke kwets­baar­heid in Sangoma PBX, die de aanvaller beheer­der­stoe­gang geeft tot het systeem, waardoor hij controle krijgt over de functies ervan. In de eerste helft van 2020 docu­men­teerden de onder­zoe­kers van Check Point wereld­wijd verschil­lende aanvals­po­gingen met betrek­king tot dit eerste inzicht. Daarna konden de onder­zoe­kers de volledige aanvals­stroom van de aanvals­groep in kaart brengen, van het eerste misbruik van de CVE-2019–19006 kwets­baar­heid, die beheer­ders­rechten verleent tot het Sangoma VoIP-tele­foon­sys­teem, tot geco­deerde uploads van PHP-bestanden die gebruik maken van het gekraakte systeem.

Aangevallen organisaties per land

De top 5 landen met de meest gevi­seerde orga­ni­sa­ties, in volgorde, waren het Verenigd Konink­rijk (52%), Nederland (21%), België (15%), de VS (7%) en Colombia (5%). De gevi­seerde sectoren omvatten de overheid, het leger, verze­ke­ringen, financiën en productie. Andere landen met getroffen orga­ni­sa­ties waren Duitsland, Frankrijk, India, Italië, Brazilië, Canada, Turkije, Australië, Rusland, Zwit­ser­land, Tsjechië, Portugal, Dene­marken, Zweden en Mexico.

Hoe kunnen organisaties zich beschermen?

  • Analyseer regel­matig de tele­foon­fac­turen. Besteed speciale aandacht aan belbe­stem­mingen, verkeers­vo­lumes en verdachte oproep­pa­tronen – vooral naar premiumnummers.
  • Analyseer inter­na­ti­o­nale belpa­tronen en zorg ervoor dat de bestem­mingen worden herkend.
  • Handhaaf een wacht­woord­be­leid en wijzig alle standaard wachtwoorden.
  • Zoek naar belver­keer buiten de normale kantooruren.
  • Annuleer onnodige/​ongebruikte voicemails.
  • Gebruik patches om de CVE-2019–19006 kwets­baar­heid die hackers misbruiken, te dichten.
  • Imple­men­teer een inbraak­pre­ven­tie­sys­teem dat pogingen om misbruik te maken van zwakke punten in kwetsbare systemen of appli­ca­ties kan detec­teren of voorkomen, om u te beschermen tegen de nieuwste bedreigingen.

Adi Ikan, Head of Network Cyber Security Research bij Check Point Research: “Ons onderzoek laat zien hoe hackers in Gaza en op de Weste­lijke Jordaan­oever geld verdienen. Hun cyber­fraude is een manier om snel grote bedragen binnen te halen. Meer in het algemeen zien we dit jaar een wijd­ver­breid fenomeen van hackers die sociale media gebruiken om het hacken en het genereren van inkomsten met VoIP-systemen op te schalen. Ze maken speciale groepen op sociale media aan om inzichten en tech­ni­sche knowhow te delen en réclame te maken voor hun over­win­ningen. Zo konden deze hackers uit Gaza, de Weste­lijke Jordaan­oever en Egypte zich orga­ni­seren om wereld­wijde acti­vi­teiten van cyber­fraude op te schalen. Ik verwacht dat dit fenomeen zich zal voort­zetten als we het nieuwe jaar ingaan. In de toekomst raad ik orga­ni­sa­ties die VoIP-systemen gebruiken overal ter wereld aan om de nieuwste patches te imple­men­teren. Zo kunnen ze enkele zeer dure beta­lingen voorkomen.”

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This