Organizace v ČR a dalších zemích terčem hackerů z Gazy, Západního břehu Jordánu a Egypta

  • Více než 10 000 detekovaných útoků od začátku roku 2020
  • Hackeři podle odhadů vydělali stovky tisíc dolarů
  • VoIP PBX hacking patří mezi 5 nejčastějších telekomunikačních podvodů, které celosvětově dosahují hodnoty 28 miliard dolarů, vyplývá to z dat organizace CFCA (Communications Fraud Control Association)

PRAHA – 6. listopadu 2020 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, upozorňuje na vlnu kybernetických podvodů, za kterými stojí hackeři z Gazy, Západního břehu Jordánu a Egypta. Hackeři už napadli více než 1200 organizací z více než 60 zemí, včetně České republiky. Útočníci se snaží zneužít zranitelnosti ve VoIP serverech a následně prodávají automaticky generované hovory nebo volají na prémiová, placená, čísla. Navíc využívají facebookové skupiny k propagaci svých služeb a sdílení podrobných návodů a šíření útoků.

VoIP je technologie, která umožňuje hlasové hovory pomocí širokopásmového připojení k internetu. Například WhatsApp využívá pro volání právě VoIP technologii. A hackeři se snaží přístup k VoIP serveru napadené organizace zpeněžit. 

Útoky mají tři fáze:

  1. Hackeři systematicky vyhledávají VoIP systémy, které mohou být zranitelné.
  2. Pro útoky na vybrané VoIP systémy jsou využívány různé zranitelnosti, nejedná se o jeden typ útoku.
  3. Přístup k napadeným systémům je následně zpeněžen a hackeři dále prodávají automaticky generované hovory nebo volají na prémiová či placená čísla.

Útočníci navíc prodávají dalším kyberzločincům telefonní čísla, plány hovorů a živý přístup k VoIP službám napadených organizací. V některých případech hackeři také odposlouchávali hovory v organizacích.

Návody a propagace útočných nástrojů na Facebooku

Hackeři využívají sociální sítě k propagaci útočných metod, sdílení hackerských zdrojů a vzdělávání ostatních útočníků. Na Facebooku vytvořili několik soukromých skupin, ve kterých sdílejí technické informace, jak konkrétní útoky provést, včetně podrobných průvodců a výukových programů. Nejaktivnější je skupina „voip__sip__inje3t0r3_seraj“.

 Facebookové příspěvky propagující hackovací techniky

Videonávod, jak hacknout VOIP server

Odhalení operace INJ3CTOR3

Check Point detekoval podezřelé aktivity související se zneužíváním VoIP systémů. Detailnější analýza odhalila novou kampaň, kterou Check Point nazval operace INJ3CTOR3 a která se zaměřuje na open-source webové GUI Sangoma PBX (https://www.sangoma.com/pbx/) pro správu Asterisk. Asterisk je světově nejpopulárnější telefonní VoIP systém používaný mnoha organizacemi z žebříčku Fortune 500 pro národní a mezinárodní telekomunikaci. Útok zneužívá kritickou zranitelnost CVE-2019-19006 (https://nvd.nist.gov/vuln/detail/CVE-2019-19006), která umožňuje získat administrátorský přístup do systému a poskytuje kontrolu nad jeho funkcemi.

Napadené organizace

Nejčastěji byly zasažené organizace z Velká Británie, Nizozemska, Belgie, USA a Kolumbie. Terčem byly především vládní a armádní organizace, pojišťovny, finanční a výrobní společnosti. Ale terčem jsou i organizace z dalších zemí, včetně České republiky, mezi napadené státy patří také Německo, Francie, Indie, Itálie, Brazílie, Kanada, Turecko, Austrálie, Rusko, Švýcarsko, Portugalsko, Dánsko, Švédsko a Mexiko.

Jak se mohou organizace chránit?

  • Pravidelně analyzujte účty za hovory. Zaměřte se na destinace, objem provozu a podezřelé vzorce – zejména u čísel s prémiovou sazbou.
  • Analyzujte vzorce u mezinárodních hovorů a ujistěte se, že se skutečně jednalo o legitimní hovory.
  • Používejte hesla a dodržujte související bezpečnostní zásady. Také nezapomeňte změnit výchozí hesla.
  • Zaměřte se na podezřelé hovory mimo běžnou pracovní dobu.
  • Zrušte nepotřebné hlasové zprávy.
  • Záplatujte zranitelnost CVE-2019-19006 (https://nvd.nist.gov/vuln/detail/CVE-2019-19006), kterou hackeři zneužívají.
  • Implementujte systémy prevence narušení (https://www.checkpoint.com/products/intrusion-prevention-system-ips), které dokážou detekovat a zabránit pokusům o zneužití slabých míst v zranitelných systémech nebo aplikacích a chrání vás před nejnovějšími hrozbami.

„Vidíme fenomén hackerů využívajících sociální sítě. Šíří po nich útočné nástroje, návody a snaží se dále zpeněžit své hackerské aktivity. Kyberzločinci z Gazy, Západního břehu Jordánu a Egypta tímto způsobem rozšířili útoky po celém světě a rychle si vydělali vysoké částky. Očekáváme, že v dalším roce se situace ještě zhorší. Všechny organizace, které používají VoIP systémy, by se měly ujistit, že mají nejnovější aktualizace a záplaty a používají pokročilá preventivní bezpečnostní opatření. Případný úspěšný útok totiž může být velmi nákladný,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point

Bezpečnosti mobilní komunikace a vzdálené práce v době koronavirové, zabezpečení nemocnic před kyberútoky nebo ochraně finančních společností a cloudových, mobilních a IoT prostředí se budou experti věnovat na největší české kyberbezpečnostní události roku, konferenci Check Point: <SECURE>, která proběhne 11. 11. 2020 od 9:00. Více informací najdete na stránce:

https://virtual-czech.checkpoint.com/

Více o útočné operaci INJ3CTOR3 najdete v analýze kyberbezpečnostního týmu Check Point Research:

https://research.checkpoint.com/2020/inj3ctor3-operation-leveraging-asterisk-servers-for-monetization/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.