Check Point Research ontdekt aanhoudende cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte

| Check Point | 4 min | 14 november 2020 16:43
Copyright: Bermix Studio op Unsplash
  • Meer dan 10.000 gedocumenteerde aanvallen sinds begin 2020
  • Top 5 landen met de meeste getroffen organisaties: VK (52%), Nederland (21%), België (15%), VS (7%) en Colombia (5%)
  • Hackers hebben naar schatting honderdduizenden dollars winst gegenereerd
Beveiligingsonderzoekers bij Check Point ontdekten aanhoudende activiteiten van cyberfraude onder leiding van hackers in Gaza, de Westelijke Jordaanoever en Egypte die in de afgelopen 12 maanden wereldwijd meer dan 1200 organisaties hebben getroffen. De hackers maken gebruik van groepen op sociale media om resources met elkaar te delen. Zo vallen ze systematisch de VoIP (voice-over-IP)-servers aan van de beoogde organisaties om in te breken. Zodra ze binnen zijn, maken de hackers van die toegang gebruik om automatisch gegenereerde oproepen te verkopen en/of systemen te dwingen premium telefoonnummers te bellen om de vergoedingen te innen.

Uitleg van de aanvalsmethode

VoIP is een technologie waarmee iemand kan bellen via een breedbandinternetverbinding in plaats van een gewone telefoonlijn. Oproepen via WhatsApp maken bijvoorbeeld gebruik van VoIP-technologie. In dit onderzoek maken de hackers winst door ‘in te bellen’ nadat ze zich toegang hebben verschaft tot de VoIP-server van de beoogde organisatie. Adi Ikan, onderzoeker bij Check Point, vatte de aanvalsmethode samen in drie stappen:
  1. Hackers scannen systematisch VoIP-systemen die kwetsbaar kunnen zijn.
  2. Hackers vallen geselecteerde VoIP-systemen aan door misbruik te maken van verschillende kwetsbaarheden.
  3. Hackers slaan munt uit hun toegang tot deze gekraakte systemen door automatisch gegenereerde oproepen te verkopen of door het systeem te dwingen premium telefoonnummers te bellen om geld te innen.
Daarnaast verkopen de hackers telefoonnummers, belplannen en live toegang tot gekraakte VoIP-diensten van getroffen organisaties aan de hoogste bieder, die deze diensten daarna voor zijn eigen doeleinden kan misbruiken. In sommige gevallen luisteren de hackers de gesprekken van die organisaties zelfs af.

Handleidingen voor misbruik op Facebook

De hackers gebruiken sociale media om reclame te maken voor hun exploits, hacking-tools te delen en kennis uit te wisselen. Op Facebook hebben de hackers verschillende besloten groepen aangemaakt, waarin ze technische informatie delen over hoe specifieke aanvallen moeten worden uitgevoerd, inclusief stapsgewijze richtlijnen en handleidingen.

Hoe de onderzoekers dit hebben ontdekt

De onderzoekers van Check Point stelden een verdachte activiteit vast die verband hield met VoIP-exploits via sensoren in ThreatCloud, Check Point’s engine voor informatie over bedreigingen. Verder onderzoek leidde tot de ontdekking van een nieuwe campagne, die van de onderzoekers de naam ‘INJ3CTOR3’ kreeg, gericht op Sangoma PBX, een open-source, web-GUI die Asterisk beheert. Asterisk is ‘s werelds populairste VoIP-telefoonsysteem voor bedrijven, dat door veel Fortune 500-bedrijven wordt gebruikt voor hun nationale en internationale telecommunicatie. De aanval misbruikt CVE-2019-19006, een kritieke kwetsbaarheid in Sangoma PBX, die de aanvaller beheerderstoegang geeft tot het systeem, waardoor hij controle krijgt over de functies ervan. In de eerste helft van 2020 documenteerden de onderzoekers van Check Point wereldwijd verschillende aanvalspogingen met betrekking tot dit eerste inzicht. Daarna konden de onderzoekers de volledige aanvalsstroom van de aanvalsgroep in kaart brengen, van het eerste misbruik van de CVE-2019-19006 kwetsbaarheid, die beheerdersrechten verleent tot het Sangoma VoIP-telefoonsysteem, tot gecodeerde uploads van PHP-bestanden die gebruik maken van het gekraakte systeem.

Aangevallen organisaties per land

De top 5 landen met de meeste getroffen organisaties, in volgorde, waren het Verenigd Koninkrijk (52%), Nederland (21%), België (15%), de VS (7%) en Colombia (5%). De getroffen sectoren omvatten de overheid, het leger, verzekeringen, financiën en productie. Andere landen met getroffen organisaties waren Duitsland, Frankrijk, India, Italië, Brazilië, Canada, Turkije, Australië, Rusland, Zwitserland, Tsjechië, Portugal, Denemarken, Zweden en Mexico.

Hoe kunnen organisaties zich beschermen?

  • Analyseer regelmatig de telefoonfacturen. Besteed speciale aandacht aan belbestemmingen, verkeersvolumes en verdachte oproeppatronen – vooral naar premium telefoonnummers.

  • Analyseer internationale belpatronen en zorg ervoor dat de bestemmingen worden herkend.

  • Handhaaf een wachtwoordbeleid en wijzig alle standaard wachtwoorden.

  • Zoek naar belverkeer buiten de normale kantooruren.

  • Annuleer onnodige/ongebruikte voicemails.

  • Gebruik patches om de CVE-2019-19006 kwetsbaarheid die hackers misbruiken, te dichten.

  • Implementeer een inbraakpreventiesysteem dat pogingen om misbruik te maken van zwakke punten in kwetsbare systemen of applicaties kan detecteren of voorkomen, om u te beschermen tegen de nieuwste bedreigingen.

Adi Ikan, Head of Network Cyber Security Research bij Check Point Research: “Ons onderzoek laat zien hoe hackers in Gaza en op de Westelijke Jordaanoever geld verdienen. Hun cyberfraude is een manier om snel grote bedragen binnen te halen. Meer over het algemeen zien we dit jaar een wijdverbreid fenomeen van hackers die social media gebruiken om het hacken en het genereren van inkomsten met VoIP-systemen op te schalen. Ze maken speciale groepen op social media aan om inzichten en technische knowhow te delen en reclame te maken voor hun overwinningen. Zo konden deze hackers uit Gaza, de Westelijke Jordaanoever en Egypte zich organiseren om wereldwijde activiteiten van cyberfraude op te schalen. Ik verwacht dat dit fenomeen zich zal voortzetten als we het nieuwe jaar ingaan. In de toekomst raad ik organisaties die VoIP-systemen gebruiken aan om de nieuwste patches te implementeren. Zo kunnen ze enkele zeer dure betalingen voorkomen.”

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Check Point

Check Point Software Technologies (NASDAQ: CHKP) biedt cybersecurity-oplossingen voor overheden en enterprises wereldwijd. Het beschermt klanten tegen cyberaanvallen met een ongeëvenaarde vangstratio van malware, ransomware en andere soorten aanvallen. Check Point biedt een multi-level security-architectuur die de netwerken tot en met de mobiele toestellen van bedrijven beschermt.
Meer over Check Point

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.