Над 1200 организации са станали жертва на кампания, в която хакери използват известни уязвимости, за да си осигурят отдалечен достъп до VoIP акаунти – ход, който осигурява на нападателите редица доходоносни възможности.
Хакерската кампания е компрометирала VoIP (Voice over Internet Protocol) телефонни системи в над 1000 компании по целия свят през изминалата година. Кампанията, изглежда, засега има за цел да носи печалба от продажбата на компрометираните акаунти, отбелязва ZDNet. Вредите за жертвите обаче са най-разнообразни.
Основната цел, изглежда, е набирането на номера с т. нар. „премиум” тарифи (навремето наричани още импулсни телефони). Тези номера, близко до ума, са притежавани от нападателите. Наред с това бизнесът с хакнатите VoIP акаунти включва и продажбата им.
Достъпът до VoIP системите може да предостави на кибер-престъпниците възможност да провеждат други атаки, включително подслушване на разговори, „копаене” на криптовалути или дори използване на компрометираните системи като трамплин за много по-сериозни и инвазивни атаки.
Хакерската група, която стои зад това, е компрометирала VoIP мрежите на почти 1200 организации в над 20 страни, според изследователи по киберсигурност в Check Point. Смята се, че всякакви индустрии са жертва на кампанията, включително правителствени служби, военни, застрахователни, финансови и производствени организации. Сред засегнатите държави са Нидерландия, Великобритания, Белгия, САЩ, Колумбия и Германия.
Атаките използват CVE-2019-19006 – критична уязвимост в телефонните системи Sangoma и Asterisk VoIP, която позволява на външни лица да получат достъп от разстояние без каквато и да е форма на удостоверяване. Пачът за сигурност за отстраняване на уязвимостта беше пуснат миналата година, но много организации все още не са го приложили. Кибер-престъпниците се възползват от това, като сканират „незакърпените” системи.
„Веднъж проникнали, хакерите добиват администраторски достъп над VoIP системата, което им позволява да контролират нейните функции. Това няма да бъде открито, освен ако ИТ екипът не потърси проблема целенасочено”, казва Дерек Мидълмис, евангелист по сигурността в Check Point Research.
Едно от най-често срещаните средства, за които се използват хакнатите системи, е извършването на изходящи повиквания, без VoIP системата да „разбира”, което би позволило на нападателите тайно да набират номера с високодоходни тарифи. По този начин те си генерират печалби за сметка на компрометираните организации. За фирмите е трудно да се усетят какво се случва.
Нападателите печелят и по други начини. Например, продават достъп до хакнатите системи, като в този бизнес важи правилото на най-скъпата оферта. Това от своя страна означава, че добитият достъп може да се използва за други кибератаки, които биха могли да бъдат по-опасни за жертвите. „Вероятно тези атаки могат да бъдат използвани за други злонамерени дейности, като криптиране с изнудване или пък подслушване”, каза Мидълмис.
Потенциално е възможно атакуващите да използват компрометирана VoIP система като шлюз към останалата част от мрежата. Така се отваря възможността за кражба на данни или внедряване на злонамерен софтуер. „Това зависи от начина, по който сървърът е конфигуриран и свързан с останалата част от корпоративната мрежа. Ако не е сегментиран от останалата част от мрежата, нападателите могат да проникнат навсякъде”, казват специалистите.
Препоръчва се на организациите, използващи подобни VoIP системи, да променят потребителските имена и паролите за устройствата, както и да анализират редовно сметките за VoIP обажданията с цел откриване на потенциално подозрителни дестинации, големи обеми трафик или подозрителни модели на обажданията.
Най-важното сега е организациите да предприемат необходимите мерки за сигурност, за да предотвратят пробивите, заключават специалистите.