网络欺诈是不法分子一种疾速赚钱的形式,当初有黑客开始利用社交媒体入侵 VoIP 服务器,取得数十万美元利润的同时还对指标企业的电话进行着窃听。
网络安全钻研人员破获了一起加沙、约旦河西岸和埃及黑客领导的国内网络欺诈案件,这些黑客在过来的 12 个月里,入侵了 60 多个国家 1200 多个组织的 VoIP 服务器。
针对开源用户界面,获利数十万美元
依据 Check Point Research 公布的调查结果,这些黑客针对的是一种开源用户界面 Sangoma PBX,Sangoma PBX 用于治理和管制 Asterisk VoIP 电话零碎,特地是会话发动协定(SIP)服务器。
这家网络安全公司在其剖析中指出:“黑客能够管制 SIP 服务器滥用各种性能,拨打欺诈电话获利。”令网络安全钻研人员头疼的是,拨打电话是一项非法性能,因而他们很难检测到黑客何时利用了服务器。
除了拨打电话,黑客还会通过向出价最高的公司发售电话号码、通话打算和实时获取受到破坏的 VoIP 服务。目前,这些黑客曾经通过这些形式取得了数十万美元的利润。
利用近程管理员身份绕过验证
PBX 是专用分支交换机的简称,是一种替换零碎,用于在电信端点之间建设和管制电话呼叫,例如通常的电话机、公共替换电话网上的目的地(PSTN)和互联网协议(VoIP)网络上的设施或服务。
Check Point Research 发现,该攻打利用了 CVE-2019-19006(CVSS score 9.8),这一重大破绽,影响了 FreePBX 和 PBXact 的管理员 Web 界面,可能容许未经受权的用户通过向受影响的服务器发送特制的数据包来取得对系统的治理拜访。近程管理员身份验证绕过破绽影响 FreePBX 15.0.16.26 及以下版本,14.0.13.11 及以下版本,13.0.197.13 及以下版本,并在 2019 年 11 月由 Sangoma 修复。
钻研人员指出,这种攻打始于 SIPVicious,一种风行的工具套件,用于审核基 于 SIP 的 VoIP 零碎。攻击者应用 svmapmodule 扫描互联网,寻找运行易受攻击的 FreePBX 版本的 SIP 零碎,一旦发现指标,攻击者就会利用 CVE-2019-19006 取得对系统的治理拜访权限。
在一个攻打流程中,钻研人员发现一个初始的 PHP Web Shell 被用来获取 FreePBX 零碎的数据库和不同 SIP 扩展名的明码,从而使攻击者能够不受限制地拜访整个零碎,并且能够从每个扩展名进行呼叫。
在第二个版本的攻打中,最后的 Web Shell 被用于下载 base64 编码的 PHP 文件,而后将其解码以启动 Web 界面,该平台可应用具备 FreePBX 和 Elastix 反对的受损零碎进行调用,并运行任意和硬编码的命令。
该攻打依赖 Pastebin 下载受密码保护的 Web Shell,因而将这次攻打与一个名为“INJ3CTOR3”的上传程序分割起来,该上传程序的名字与一个老的 SIP 近程代码执行破绽(CVE-2014-7235)以及一些用于共享 SIP 服务器破绽的 Facebook 私人群组相关联。
黑客如何在国内网络欺诈中赚钱?
Check Point 钻研人员认为,被黑客攻击的 VoIP 服务器可能被黑客利用,在他们的管制下拨打国内高级费率号码(IPRN)。IPRN 是企业应用的专门号码,用于提供电话购物和其余服务,比方让复电者期待,以获取更高的费用。
这笔费用通常会转嫁给拨打这些国内高级费率号码的客户,从而使其成为能够滥用的零碎。因而,IPRN 的所有者接到的电话越多,客户期待实现交易的工夫越长,它向电信运营商和客户收取的费用就越多。
钻研人员说:“应用 IPRN 程序不仅容许黑客打电话,而且还能够滥用 SIP 服务器来获取利润。被利用的服务器越多,能够向 IPRN 收回的呼叫就越多。”
这曾经不是替换零碎第一次被用于国内税收分成欺诈(IRSF),这种行为是非法进入运营商的网络,以便向从 IPRN 提供商取得的电话号码夸张流量。
早在往年 9 月,ESET 钻研人员就发现了名为“CDRThief”的 Linux 恶意软件,该恶意软件以 VoIP 软交换为指标,希图窃取电话通话元数据并施行 IRSF 打算。
Check Point 网络网络安全钻研主管 Adi Ikan 示意:“咱们的钻研表明,咱们的钻研揭示了加沙和约旦河西岸的黑客如何在巴勒斯坦地区顽劣的社会经济条件下赚钱。”
对 Asterisk 服务器的攻打是非常常见的,因为黑客的指标不仅是发售对受损零碎的拜访权,而且还利用零碎的基础设施来赚钱。IPRN 的概念容许在打电话和赚钱之间建设间接分割。