Beveiligingsonderzoekers bij Check Point ontdekten aanhoudende activiteiten van cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte die in de afgelopen 12 maanden wereldwijd meer dan 1200 organisaties hebben getroffen. De hackers maken gebruik van groepen op sociale media om samen te werken. Zo vallen ze systematisch de VoIP-servers (voice-over-IP) van geviseerde organisaties aan om in te breken. Zodra ze binnen zijn, maken de hackers van die toegang gebruik om automatisch gegenereerde oproepen te verkopen en/of systemen te dwingen premiumnummers te bellen om vergoedingen te innen.
De aanvalsmethode uitgelegd
VoIP is een technologie waarmee iemand kan bellen via een breedbandinternetverbinding in plaats van een gewone telefoonlijn. Oproepen via WhatsApp maken bijvoorbeeld gebruik van VoIP-technologie. In dit onderzoek maken de hackers winst door ‘in te bellen’ nadat ze zich toegang hebben verschaft tot de VoIP-server van een geviseerde organisatie. Adi Ikan, onderzoeker bij Check Point, vatte de aanvalsmethode samen in drie stappen:
- Hackers scannen systematisch VoIP-systemen die kwetsbaar kunnen zijn.
- Hackers vallen geselecteerde VoIP-systemen aan door misbruik te maken van verschillende kwetsbaarheden.
- Hackers slaan munt uit hun toegang tot deze gekraakte systemen door automatisch gegenereerde oproepen te verkopen of door het systeem te dwingen premiumnummers te bellen die vergoedingen innen.
Daarnaast verkopen de hackers telefoonnummers, belplannen en live toegang tot gekraakte VoIP-diensten van geviseerde organisaties aan de hoogste bieder, die deze diensten daarna voor zijn eigen doeleinden kan misbruiken. In sommige gevallen luisteren de hackers de gesprekken van die organisaties zelfs af.
Handleidingen voor misbruik op Facebook
De hackers gebruiken sociale media om reclame te maken voor hun exploits, hackingmiddelen te delen en kennis uit te wisselen. Op Facebook hebben de hackers verschillende besloten groepen aangemaakt, waarin ze technische informatie delen over hoe specifieke aanvallen moeten worden uitgevoerd, inclusief stap-voor-stap richtlijnen en handleidingen.
Hoe de onderzoekers dit hebben ontdekt
De onderzoekers van Check Point stelden een verdachte activiteit vast die verband hield met VoIP-exploits via sensoren in ThreatCloud, Check Point’s engine voor informatie over bedreigingen. Verder onderzoek leidde tot de ontdekking van een nieuwe campagne, die van de onderzoekers de naam ‘INJ3CTOR3’ kreeg, gericht op Sangoma PBX, een open-source, web-GUI die Asterisk beheert. Asterisk is ‘s werelds populairste VoIP-telefoonsysteem voor bedrijven, dat door veel Fortune 500-bedrijven wordt gebruikt voor hun nationale en internationale telecommunicatie. De aanval misbruikt CVE-2019-19006, een kritieke kwetsbaarheid in Sangoma PBX, die de aanvaller beheerderstoegang geeft tot het systeem, waardoor hij controle krijgt over de functies ervan. In de eerste helft van 2020 documenteerden de onderzoekers van Check Point wereldwijd verschillende aanvalspogingen met betrekking tot dit eerste inzicht. Daarna konden de onderzoekers de volledige aanvalsstroom van de aanvalsgroep in kaart brengen, van het eerste misbruik van de CVE-2019-19006 kwetsbaarheid, die beheerdersrechten verleent tot het Sangoma VoIP-telefoonsysteem, tot gecodeerde uploads van PHP-bestanden die gebruik maken van het gekraakte systeem.
Aangevallen organisaties per land
De top 5 landen met de meest geviseerde organisaties, in volgorde, waren het Verenigd Koninkrijk (52%), Nederland (21%), België (15%), de VS (7%) en Colombia (5%). De geviseerde sectoren omvatten de overheid, het leger, verzekeringen, financiën en productie. Andere landen met getroffen organisaties waren Duitsland, Frankrijk, India, Italië, Brazilië, Canada, Turkije, Australië, Rusland, Zwitserland, Tsjechië, Portugal, Denemarken, Zweden en Mexico.
Hoe kunnen organisaties zich beschermen?
- Analyseer regelmatig de telefoonfacturen. Besteed speciale aandacht aan belbestemmingen, verkeersvolumes en verdachte oproeppatronen – vooral naar premiumnummers.
- Analyseer internationale belpatronen en zorg ervoor dat de bestemmingen worden herkend.
- Handhaaf een wachtwoordbeleid en wijzig alle standaard wachtwoorden.
- Zoek naar belverkeer buiten de normale kantooruren.
- Annuleer onnodige/ongebruikte voicemails.
- Gebruik patches om de CVE-2019-19006 kwetsbaarheid die hackers misbruiken, te dichten.
- Implementeer een inbraakpreventiesysteem dat pogingen om misbruik te maken van zwakke punten in kwetsbare systemen of applicaties kan detecteren of voorkomen, om u te beschermen tegen de nieuwste bedreigingen.
Adi Ikan, Head of Network Cyber Security Research bij Check Point Research: “Ons onderzoek laat zien hoe hackers in Gaza en op de Westelijke Jordaanoever geld verdienen. Hun cyberfraude is een manier om snel grote bedragen binnen te halen. Meer in het algemeen zien we dit jaar een wijdverbreid fenomeen van hackers die sociale media gebruiken om het hacken en het genereren van inkomsten met VoIP-systemen op te schalen. Ze maken speciale groepen op sociale media aan om inzichten en technische knowhow te delen en reclame te maken voor hun overwinningen. Zo konden deze hackers uit Gaza, de Westelijke Jordaanoever en Egypte zich organiseren om wereldwijde activiteiten van cyberfraude op te schalen. Ik verwacht dat dit fenomeen zich zal voortzetten als we het nieuwe jaar ingaan. In de toekomst raad ik organisaties die VoIP-systemen gebruiken overal ter wereld aan om de nieuwste patches te implementeren. Zo kunnen ze enkele zeer dure betalingen voorkomen.”
