Check Point Research ontdekt aanhoudende cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte

Bunnik, 6 november 2020 – Beveiligingsonderzoekers bij Check Point ontdekten aanhoudende activiteiten van cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte die in de afgelopen 12 maanden wereldwijd meer dan 1200 organisaties hebben getroffen. De hackers maken gebruik van groepen op sociale media om resources met elkaar te delen. Zo vallen ze systematisch de VoIP (voice-over-IP)-servers aan van de beoogde organisaties om in te breken. Zodra ze binnen zijn, maken de hackers van die toegang gebruik om automatisch gegenereerde oproepen te verkopen en/of systemen te dwingen premium telefoonnummers te bellen om de vergoedingen te innen.

Uitleg van de aanvalsmethode
VoIP is een technologie waarmee iemand kan bellen via een breedbandinternetverbinding in plaats van een gewone telefoonlijn. Oproepen via WhatsApp maken bijvoorbeeld gebruik van VoIP-technologie. In dit onderzoek maken de hackers winst door ‘in te bellen’ nadat ze zich toegang hebben verschaft tot de VoIP-server van de beoogde organisatie. Adi Ikan, onderzoeker bij Check Point, vatte de aanvalsmethode samen in drie stappen:

1. Hackers scannen systematisch VoIP-systemen die kwetsbaar kunnen zijn.
2. Hackers vallen geselecteerde VoIP-systemen aan door misbruik te maken van verschillende kwetsbaarheden.
3. Hackers slaan munt uit hun toegang tot deze gekraakte systemen door automatisch gegenereerde oproepen te verkopen of door het systeem te dwingen premium telefoonnummers te bellen om geld te innen.

Daarnaast verkopen de hackers telefoonnummers, belplannen en live toegang tot gekraakte VoIP-diensten van getroffen organisaties aan de hoogste bieder, die deze diensten daarna voor zijn eigen doeleinden kan misbruiken. In sommige gevallen luisteren de hackers de gesprekken van die organisaties zelfs af.

Handleidingen voor misbruik op Facebook
De hackers gebruiken sociale media om reclame te maken voor hun exploits, hacking-tools te delen en kennis uit te wisselen. Op Facebook hebben de hackers verschillende besloten groepen aangemaakt, waarin ze technische informatie delen over hoe specifieke aanvallen moeten worden uitgevoerd, inclusief stapsgewijze richtlijnen en handleidingen.

Hoe de onderzoekers dit hebben ontdekt
De onderzoekers van Check Point stelden een verdachte activiteit vast die verband hield met VoIP-exploits via sensoren in ThreatCloud, Check Point’s engine voor informatie over bedreigingen. Verder onderzoek leidde tot de ontdekking van een nieuwe campagne, die van de onderzoekers de naam ‘INJ3CTOR3’ kreeg, gericht op Sangoma PBX, een open-source, web-GUI die Asterisk beheert. Asterisk is ‘s werelds populairste VoIP-telefoonsysteem voor bedrijven, dat door veel Fortune 500-bedrijven wordt gebruikt voor hun nationale en internationale telecommunicatie. De aanval misbruikt CVE-2019-19006, een kritieke kwetsbaarheid in Sangoma PBX, die de aanvaller beheerderstoegang geeft tot het systeem, waardoor hij controle krijgt over de functies ervan. In de eerste helft van 2020 documenteerden de onderzoekers van Check Point wereldwijd verschillende aanvalspogingen met betrekking tot dit eerste inzicht. Daarna konden de onderzoekers de volledige aanvalsstroom van de aanvalsgroep in kaart brengen, van het eerste misbruik van de CVE-2019-19006 kwetsbaarheid, die beheerdersrechten verleent tot het Sangoma VoIP-telefoonsysteem, tot gecodeerde uploads van PHP-bestanden die gebruik maken van het gekraakte systeem.

Aangevallen organisaties per land
De top 5 landen met de meeste getroffen organisaties, in volgorde, waren het Verenigd Koninkrijk  (52%), Nederland (21%), België (15%), de VS (7%) en Colombia (5%). De getroffen sectoren omvatten de overheid, het leger, verzekeringen, financiën en productie. Andere landen met getroffen organisaties waren Duitsland, Frankrijk, India, Italië, Brazilië, Canada, Turkije, Australië, Rusland, Zwitserland, Tsjechië, Portugal, Denemarken, Zweden en Mexico.

Hoe kunnen organisaties zich beschermen?

• Analyseer regelmatig de telefoonfacturen. Besteed speciale aandacht aan belbestemmingen, verkeersvolumes en verdachte oproeppatronen – vooral naar premium telefoonnummers.
• Analyseer internationale belpatronen en zorg ervoor dat de bestemmingen worden herkend.
• Handhaaf een wachtwoordbeleid en wijzig alle standaard wachtwoorden.
• Zoek naar belverkeer buiten de normale kantooruren.
• Annuleer onnodige/ongebruikte voicemails.
• Gebruik patches om de CVE-2019-19006 kwetsbaarheid die hackers misbruiken, te dichten.
• Implementeer een inbraakpreventiesysteem dat pogingen om misbruik te maken van zwakke punten in kwetsbare systemen of applicaties kan detecteren of voorkomen, om u te beschermen tegen de nieuwste bedreigingen.

Adi Ikan, Head of Network Cyber Security Research bij Check Point Research:
“Ons onderzoek laat zien hoe hackers in Gaza en op de Westelijke Jordaanoever geld verdienen. Hun cyberfraude is een manier om snel grote bedragen binnen te halen. Meer over het algemeen zien we dit jaar een wijdverbreid fenomeen van hackers die social media gebruiken om het hacken en het genereren van inkomsten met VoIP-systemen op te schalen. Ze maken speciale groepen op social media aan om inzichten en technische knowhow te delen en reclame te maken voor hun overwinningen. Zo konden deze hackers uit Gaza, de Westelijke Jordaanoever en Egypte zich organiseren om wereldwijde activiteiten van cyberfraude op te schalen. Ik verwacht dat dit fenomeen zich zal voortzetten als we het nieuwe jaar ingaan. In de toekomst raad ik organisaties die VoIP-systemen gebruiken aan om de nieuwste patches te implementeren. Zo kunnen ze enkele zeer dure betalingen voorkomen.”

Over Check Point
Check Point Software Technologies Ltd. levert cybersecurity-oplossingen aan overheden en enterprises wereldwijd. Het beschermt klanten tegen 5e generatie cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur, ‘Infinity’ Total Protection met Gen V geavanceerde threat prevention, die de informatie beschermt binnen de cloud, netwerken en mobiele apparaten van enterprises. Check Point biedt het meest uitgebreide en intuïtieve ‘one point of control’ security-beheersysteem. Check Point beschermt meer dan 100.000 organisaties van elke omvang.