Ciberdelincuentes hackearon servidores VoIP de 1200 empresas
Investigadores de ciberseguridad presentaron hoy una operación de fraude cibernético en curso liderada por hackers en Gaza, Cisjordania y Egipto. Los hackers han comprometido los servidores VoIP de más de 1,200 organizaciones en 60 países durante los últimos 12 meses.
Según Check Point Research, los actores de amenaza, que se cree que se encuentran en la Franja de Gaza palestina, han apuntado a Sangoma PBX. Sangoma PBX es una interfaz de usuario de código abierto que se utiliza para administrar y controlar los sistemas telefónicos VoIP de Asterisk. Es utilizado particularmente los servidores de Session Initiation Protocol (SIP).
“Hackear servidores SIP y obtener el control permite a los hackers abusar de ellos de varias formas”, señaló la firma de ciberseguridad en su análisis. “Una de las formas más complejas e interesantes es abusar de los servidores para realizar llamadas telefónicas salientes, que también se utilizan para generar ganancias. Hacer llamadas es una función legítima, por lo que es difícil detectar cuándo se ha explotado un servidor”.
Vender números telefónicos, planes de llamadas y acceso en vivo a servicios VoIP comprometidos de empresas específicas a los mejores postores ha sido el objetivo. Los operadores de la campaña han generado cientos de miles de dólares en ganancias, además se ha equipado con capacidades para espiar llamadas legítimas.
Explotación de una vulnerabilidad de evasión de autenticación de administrador remoto
PBX, abreviatura de Private Branch Exchang, es un sistema de conmutación que se utiliza para establecer y controlar llamadas telefónicas entre puntos finales de telecomunicaciones. Por ejemplo, teléfonos habituales, destinos en la red telefónica pública conmutada (PSTN) y dispositivos o servicios en redes de voz sobre protocolo de Internet (VoIP).
La investigación de Check Point encontró que el ataque explota CVE-2019-19006 (puntaje CVSS 9.8). Es una vulnerabilidad crítica que afecta la interfaz web del administrador de FreePBX y PBXact. La vulnerabilidad potencialmente permite que usuarios no autorizados obtengan acceso de administrador al sistema. Esto mediante el envío de paquetes especialmente diseñados al servidor afectado.
La vulnerabilidad de evasión de autenticación de administrador remoto afecta a las versiones 15.0.16.26 y anteriores de FreePBX, 14.0.13.11 y anteriores, y 13.0.197.13 y anteriores. Estas fueron parcheadas por Sangoma en noviembre de 2019.
“El ataque comienza con SIPVicious, una popular suite de herramientas para auditar sistemas VoIP basados en SIP”, señalaron los investigadores. “El atacante usa ‘svmapmodule’ para escanear Internet en busca de sistemas SIP que ejecuten versiones vulnerables de FreePBX. Una vez encontrado, el atacante explota la CVE-2019-19006, obteniendo acceso de administrador al sistema”.
En un flujo de ataque, se descubrió que se utilizó una shell web PHP inicial para hacerse con la base de datos del sistema FreePBX. Además, las contraseñas para diferentes extensiones SIP, lo que les otorgaba a los atacantes acceso sin restricciones a todo el sistema. Asimismo, tenían la capacidad de realizar llamadas desde cada extensión.
Otro ataque
En la segunda versión del ataque, se utilizó una shell web inicial para descargar un archivo PHP codificado en base64. Este archivo luego se decodifica para iniciar un panel web que permite al hacker realizar llamadas utilizando el sistema comprometido con compatibilidad FreePBX y Elastix. Asimismo, puede ejecutar comandos arbitrarios y codificados.
La campaña en Pastebin para descargar shells web protegidos con contraseña ha vinculado el ataque a un sujeto con el nombre de “INJ3CTOR3”. Este nombre está vinculado a una antigua vulnerabilidad de ejecución remota de código SIP (CVE-2014-7235). Además, se asocia a un número de grupos privados de Facebook que se utilizan para compartir exploits del servidor SIP.
Un caso de fraude internacional de reparto de ingresos
Los investigadores de Check Point tienen su teoría. Ellos creen que los atacantes podrían emplear los servidores VoIP hackeados para realizar llamadas a números de tarifa premium internacionales (IPRN) bajo su control. Los IPRN son números especializados que utilizan las empresas para ofrecer compras telefónicas y otros servicios. Por ejemplo, poner en espera a las personas que llaman, por una tarifa más alta.
Esta tarifa generalmente se transfiere a los clientes que realizan las llamadas a estos números premium. Esto lo convierte en un sistema listo para el abuso. Por lo tanto, cuantas más llamadas reciba el propietario de una IPRN y más esperen los clientes para completar la transacción habrá más ganancias. Esto se traduce en más dinero que podrán cobrar a los proveedores y clientes de telecomunicaciones.
“El uso de programas IPRN no solo permite al hacker realizar llamadas, sino también abusar de los servidores SIP para generar ganancias”, dijeron los investigadores. “Cuantos más servidores se exploten, más llamadas a la IPRN se pueden realizar”.
Esta no es la primera vez que los sistemas de conmutación se aprovechan para el fraude internacional de reparto de ingresos (IRSF). Es decir, la práctica de obtener acceso ilegalmente a la red de un operador para inflar el tráfico a números de teléfono obtenidos de un proveedor de IPRN.
Otros incidentes
En septiembre, los investigadores de ESET descubrieron un malware de Linux denominado “CDRThief” que se dirige a los softswitches de VoIP. Es un intento de robar los metadatos de las llamadas telefónicas y llevar a cabo esquemas de IRSF.
“Nuestra investigación revela cómo los hackers en Gaza y Cisjordania están ganando dinero, dadas las terribles condiciones socioeconómicas en los territorios palestinos”.
Afirmaciones de Adi Ikan, jefe de investigación de ciberseguridad de redes en Check Point.
“Su operación de fraude cibernético es una forma rápida de ganar grandes sumas de dinero, rápidamente. En términos más generales, estamos viendo un fenómeno generalizado de hackers que utilizan las redes sociales para escalar el hacking y la monetización de los sistemas VoIP este año”.
“El ataque a los servidores Asterisk también es inusual. El objetivo de los actores de amenazas no solo es vender el acceso a los sistemas comprometidos, sino también utilizar la infraestructura para generar ganancias. El concepto de IPRN permite un vínculo directo entre hacer llamadas telefónicas y ganar dinero.”