Investigadores da Check Point® Software Technologies Ltd., fornecedor líder global de soluções de cibersegurança, revelam uma operação fraudulenta conduzida por hackers de Gaza, Cisjordânia e Egito, responsável por afetar mais de 1200 organizações nos últimos 12 meses. Através de grupos em redes sociais que utilizam para partilhar informação e recursos entre eles, os hackers atacam sistematicamente servidores voice-over-IP (VoIP) de organizações-alvo. Sendo bem-sucedidos, os atacantes monetizam então esse acesso, vendendo chamadas geradas automaticamente e/ou forçando os sistemas a ligar a números pagos para depois cobrar as respetivas taxas. Estima-se que tenham gerado já centenas de milhares de dólares em lucro, com mais de 10 000 ataques documentados desde o início de 2020.

O VoIP é uma tecnologia que permite uma pessoa realizar chamadas de voz utilizando uma conexão à internet de banda larga em vez de uma linha telefónica. Por exemplo, chamadas feitas através do WhatsApp utilizam a tecnologia VoIP. Nesta operação em particular, os hackers obtêm os lucros após adquirirem acesso aos servidores VoIP das organizações. Adi Ikan, Head of Network Cyber Security Research da Check Point Research, resume o método de ataque em 3 passos: 

  1. Os atacantes procuram sistematicamente por sistemas VoIP que possam ser vulneráveis
  2. Posteriormente, atacam as várias vulnerabilidades dos sistemas VoIP selecionados
  3. Por fim, monetizam o seu acesso aos sistemas cuja segurança está comprometida ao vender as chamadas, que podem ser geradas automaticamente ou forçando o sistema a ligar a números pagos

Além disso, os atacantes vendem números de telefone, planos de chamadas, e acesso em tempo-real a serviços VoIP das organizações-alvo ao licitador que oferecer o valor mais elevado, que poderá depois explorar os serviços comprados a favor dos seus propósitos próprios. Em alguns casos, os atacantes espiam as chamadas das organizações que atacam.

“A nossa investigação revela que os hackers em Gaza e na Cisjordânia estão a lucrar. Esta operação fraudulenta é uma forma rápida de fazer vastas quantidades monetárias em pouco tempo. Olhando de forma mais ampla, verificamos um fenómeno generalizado de hackers que utilizam grupos de redes sociais para partilhar insights, know-how técnico e, até, as suas conquistas,” afirma Adi Ikan. “Foi assim que atacantes de Gaza, da Cisjordânia e do Egito conseguiram organizar-se de forma a montar uma operação global de ciber fraude. Na minha opinião, este fenómeno continuará até à mudança de ano. Para o futuro, recomendo fortemente as organizações de todo o mundo que utilizam sistemas VoIP a assegurar-se que implementaram as últimas patches. Caso contrário, o preço a pagar pode ser bastante elevado,” conclui Ikan.

Os investigadores da Check Point Research começarem por reparar em atividades suspeitas relacionadas com explorações de VoIP através de sensores da ThreatCloud, ferramenta de Threat Intelligence da Check Point. Uma investigação mais profunda levou à descoberta de uma nova campanha, designada pelos investigadores de “INK3CTOR3 Operation”, tendo como alvo o Sangoma PBX, um software WebGUI de open-source que gere a Asterisk. A Asterisk é o sistema VoIP telefónico mais popular, sendo utilizado por muitas das empresas listadas na Fortune 500 para as suas comunicações nacionais e internacionais. O ataque passa pela exploração da CVE-2019-19006, uma vulnerabilidade crítica presente no Sangoma PBX, que garante ao atacante o acesso administrativo e o controlo do sistema e das suas funcionalidades. Investigadores da Check Point documentaram numerosas tentativas de ataque em todo o mundo durante a primeira metade de 2020 relacionadas com este insight inicial. Posteriormente, a equipa da Check Point foi capaz de expor toda a corrente de ataques do grupo de hackers, desde a exploração inicial da falha CVE-2019-19006 até aos ficheiros PHP codificados do sistema comprometido.

O top 5 de países com um maior número de organizações atacadas é o Reino Unido (52%), os Países Baixos (21%), a Bélgica (15%), os EUA (7%) e a Colômbia (5%). Entre as indústrias e setores mais atacados destacam-se a administração pública, o setor militar, a indústria dos seguros, as finanças, a indústria de manufatura, entre outras. Outros países que contaram com um número de organizações afetadas são a Alemanha, França, India, Itália, Brasil, Canadá, Turquia, Austrália, Rússia, Suíça, República Checa, Portugal, Dinamarca, Suécia e México.

Como podem as organizações proteger-se

  • Analisar faturas telefónicas regularmente. Estar atento ao destino das chamadas, ao volume do tráfego e aos padrões de chamada suspeitos – especialmente para números pagos
  • Analisar padrões de chamadas internacionais e certificar-se que reconhece os destinos
  • Manter a política da password e mudar todas as passwords definidas previamente
  • Procurar por trafego de chamadas realizado fora do horário normal de trabalho
  • Cancelar voice mails desnecessários ou sem utilização
  • Instalar patches que encerrem a vunerabilidade CVE-2019-19006 explorada pelos hackers
  • Implementar Sistemas de Prevenção de Intrusão capazes de detetar ou prevenir ataques que explorem vulnerabilidades em sistemas ou aplicações com falhas de segurança

A Check Point Research disponibiliza informação sobre ciberameaças aos clientes da Check Point Software e à vasta comunidade de cibersegurança. A equipa de pesquisa colige e analisa dados de ciber-ataques a nível global captada na ThreatCloud para manter os hackers sob vigilância, enquanto assegura que todos os produtos da Check Point se encontram atualizados com as mais recentes proteções. A equipa de pesquisa conta com mais de 100 analistas e pesquisadores que cooperam com outros fabricantes de segurança, entidades legais e diversos CERTs.  

Classifique este item
(0 votos)
Ler 195 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Newsletter

Receba as notícias no seu e-mail

Top