Check Point identifica operação fraudulenta conduzida por hackers em Gaza, Cisjordânia e Egipto

Hackers utilizam grupos de Facebook privados para publicitar os seus serviços e partilhar tutoriais que resultam na exploração maliciosa de servidores VoIP, comprometendo mais de 1200 organizações espalhadas por mais de 60 países.

Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, revelam uma operação fraudulenta conduzida por hackers de Gaza, Cisjordânia e Egito, responsável por afetar mais de 1200 organizações nos últimos 12 meses. Através de grupos em redes sociais que utilizam para partilhar informação e recursos entre eles, os hackers atacam sistematicamente servidores voice-over-IP (VoIP) de organizações-alvo. Sendo bem-sucedidos, os atacantes monetizam então esse acesso, vendendo chamadas geradas automaticamente e/ou forçando os sistemas a ligar a números pagos para depois cobrar as respetivas taxas. Estima-se que tenham gerado já centenas de milhares de dólares em lucro, com mais de 10 000 ataques documentados desde o início de 2020.

Método de ataque explicado

O VoIP é uma tecnologia que permite uma pessoa realizar chamadas de voz utilizando uma conexão à internet de banda larga em vez de uma linha telefónica. Por exemplo, chamadas feitas através do WhatsApp utilizam a tecnologia VoIP. Nesta operação em particular, os hackers obtêm os lucros após adquirirem acesso aos servidores VoIP das organizações. Adi Ikan, Head of Network Cyber Security Research da Check Point Research, resume o método de ataque em 3 passos:

1. Os atacantes procuram sistematicamente por sistemas VoIP que possam ser vulneráveis
2. Posteriormente, atacam as várias vulnerabilidades dos sistemas VoIP selecionados
3. Por fim, monetizam o seu acesso aos sistemas cuja segurança está comprometida ao vender as chamadas, que podem ser geradas automaticamente ou forçando o sistema a ligar a números pagos
   

Além disso, os atacantes vendem números de telefone, planos de chamadas, e acesso em tempo-real a serviços VoIP das organizações-alvo ao licitador que oferecer o valor mais elevado, que poderá depois explorar os serviços comprados a favor dos seus propósitos próprios. Em alguns casos, os atacantes espiam as chamadas das organizações que atacam.

“A nossa investigação revela que os hackers em Gaza e na Cisjordânia estão a lucrar. Esta operação fraudulenta é uma forma rápida de fazer vastas quantidades monetárias em pouco tempo. Olhando de forma mais ampla, verificamos um fenómeno generalizado de hackers que utilizam grupos de redes sociais para partilhar insights, know-how técnico e, até, as suas conquistas,” afirma Adi Ikan. “Foi assim que atacantes de Gaza, da Cisjordânia e do Egito conseguiram organizar-se de forma a montar uma operação global de ciber fraude. Na minha opinião, este fenómeno continuará até à mudança de ano. Para o futuro, recomendo fortemente as organizações de todo o mundo que utilizam sistemas VoIP a assegurar-se que implementaram as últimas patches. Caso contrário, o preço a pagar pode ser bastante elevado,” conclui Ikan.

Como os investigadores fizeram a descoberta

Os investigadores da Check Point Research começarem por reparar em atividades suspeitas relacionadas com explorações de VoIP através de sensores da ThreatCloud, ferramenta de Threat Intelligence da Check Point. Uma investigação mais profunda levou à descoberta de uma nova campanha, designada pelos investigadores de “INK3CTOR3 Operation”, tendo como alvo o Sangoma PBX, um software WebGUI de open-source que gere a Asterisk. A Asterisk é o sistema VoIP telefónico mais popular, sendo utilizado por muitas das empresas listadas na Fortune 500 para as suas comunicações nacionais e internacionais. O ataque passa pela exploração da CVE-2019-19006, uma vulnerabilidade crítica presente no Sangoma PBX, que garante ao atacante o acesso administrativo e o controlo do sistema e das suas funcionalidades. Investigadores da Check Point documentaram numerosas tentativas de ataque em todo o mundo durante a primeira metade de 2020 relacionadas com este insight inicial. Posteriormente, a equipa da Check Point foi capaz de expor toda a corrente de ataques do grupo de hackers, desde a exploração inicial da falha CVE-2019-19006 até aos ficheiros PHP codificados do sistema comprometido.

Organizações atacadas por país

O top 5 de países com um maior número de organizações atacadas é o Reino Unido (52%), os Países Baixos (21%), a Bélgica (15%), os EUA (7%) e a Colômbia (5%). Entre as indústrias e setores mais atacados destacam-se a administração pública, o setor militar, a indústria dos seguros, as finanças, a indústria de manufatura, entre outras. Outros países que contaram com um número de organizações afetadas são a Alemanha, França, India, Itália, Brasil, Canadá, Turquia, Austrália, Rússia, Suíça, República Checa, Portugal, Dinamarca, Suécia e México.

Como podem as organizações proteger-se

1. Analisar faturas telefónicas regularmente. Estar atento ao destino das chamadas, ao volume do tráfego e aos padrões de chamada suspeitos – especialmente para números pagos
2. Analisar padrões de chamadas internacionais e certificar-se que reconhece os destinos
3. Manter a política da password e mudar todas as passwords definidas previamente
4. Procurar por trafego de chamadas realizado fora do horário normal de trabalho
5. Cancelar voice mails desnecessários ou sem utilização
6. Instalar patches que encerrem a vunerabilidade CVE-2019-19006 explorada pelos hackers
7. Implementar Sistemas de Prevenção de Intrusão capazes de detetar ou prevenir ataques que explorem vulnerabilidades em sistemas ou aplicações com falhas de segurança