Tin tặc tấn công máy chủ VoIP của hơn 1200 tổ chức trên toàn cầu
Mới đây, các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một hoạt động gian lận mạng của các tin tặc đến từ Gaza, West Coast, và Ai Cập. Được biết nhóm tin tặc này đã xâm nhập vào máy chủ VoIP của hơn 1.200 tổ chức trên 60 quốc gia trong suốt 12 tháng qua.
Theo những công bố của Check Point Research, nhóm tấn công này đến từ Dải Gaza của Palestine. Chúng đã nhắm mục tiêu tới Sangoma PBX, một giao diện người dùng mã nguồn mở, được dùng để quản lý và kiểm soát các hệ thống điện thoại Asterisk VoIP, đặc biệt là các máy chủ SIP (Session Initiation Protocol – Giao thức Khởi tạo Phiên).
“Việc hack thành công các máy chủ SIP và giành được quyền kiểm soát cho phép tin tặc thực hiện nhiều mục đích khác nhau,” công ty an ninh mạng cho biết. “Một trong số đó là lợi dụng máy chủ để thực hiện các cuộc gọi đi, và thu lợi nhuận từ những cuộc gọi đó. Vì thực hiện cuộc gọi là một tính năng hợp pháp, do đó sẽ rất khó để phát hiện nếu máy chủ bị kẻ tấn công khai thác.”
Bằng việc thực hiện các thương vụ bán số điện thoại, gói cuộc gọi, và quyền truy cập trực tiếp vào các dịch vụ VoIP bị xâm phạm cho những người trả giá cao nhất, kẻ đứng sau chiến dịch đã thu được hàng trăm nghìn đô la lợi nhuận, bên cạnh khả năng nghe trộm các cuộc gọi hợp pháp.
Khai thác lỗ hổng vượt qua xác thực quyền quản trị
PBX, viết tắt của cụm từ private branch exchange (tổng đài nhánh riêng) là một hệ thống chuyển mạch được sử dụng để thiết lập và điều khiển các cuộc gọi giữa các điểm cuối viễn thông, như các bộ điện thoại thông thường, các điểm đến trên mạng điện thoại chuyển mạch công cộng (PSTN), và các thiết bị hoặc dịch vụ trên hệ thống mạng VoIP.
Nghiên cứu của Check Point cho thấy nhóm tấn công đã khai thác lỗ hổng CVE-2019-19006 , có điểm CVSS là 9,8. Lỗ hổng nghiêm trọng này ảnh hưởng đến giao diện quản trị web của FreePBX, PBXact, và có khả năng cho phép kẻ tấn công không xác thực giành quyền truy cập quản trị vào hệ thống bằng cách gửi các gói tin được tạo đặc biệt tới máy chủ bị ảnh hưởng.
Lỗ hổng vượt qua xác thực quyền quản trị này ảnh hưởng đến các phiên bản FreePBX từ 15.0.16.26 trở xuống, 14.0.13.11 trở xuống, và 13.0.197.13 trở xuống. Nó đã được Sangoma vá vào tháng 11 năm 2019.
“Cuộc tấn công bắt đầu bằng việc sử dụng SIPVicious – một bộ công cụ phổ biến dùng để kiểm tra các hệ thống VoIP dựa trên SIP,” các nhà nghiên cứu cho biết. “Kẻ tấn công đầu tiên sẽ sử dụng ‘svmapmodule’ để quét internet và tìm các hệ thống SIP đang chạy trên các phiên bản FreePBX bị lỗi. Sau khi tìm thấy, chúng sẽ khai thác lỗ hổng CVE-2019-19006, và giành quyền truy cập quản trị vào hệ thống.”
Trong một phiên bản tấn công, các nhà nghiên cứu đã phát hiện ra một PHP web shell được dùng để lấy cơ sở dữ liệu và mật khẩu của hệ thống FreePBX cho các phần mở rộng SIP khác nhau. Nó giúp kẻ tấn công chiếm được quyền truy cập không hạn chế vào toàn bộ hệ thống và có thể thực hiện lệnh gọi từ mọi phần mở rộng.
Trong phiên bản thứ hai của cuộc tấn công, web shell ban đầu được sử dụng để tải xuống file PHP được mã hóa base64. File này sau đó sẽ được giải mã để khởi chạy bảng điều khiển web (web panel). Cuối cùng cho phép kẻ tấn công thực hiện cuộc gọi bằng cách sử dụng hệ thống bị xâm nhập có hỗ trợ cả FreePBX và Elastix, cũng như chạy các lệnh tùy ý và các lệnh được mã hóa cứng (hard-coded).
Việc chiến dịch dựa vào Pastebin để tải xuống các web shell được bảo vệ bằng mật khẩu đã khiến các nhà nghiên cứu phát hiện ra mối liên hệ đặc biệt giữa nó với một kẻ tấn công có tên “INJ3CTOR3”. Đồng thời biệt danh này cũng liên quan tới một lỗ hổng RCE SIP cũ (CVE-2014-7235), và xuất hiện trong một vài nhóm Facebook kín chuyên chia sẻ các mã khai thác máy chủ SIP.
Các chiêu trò gian lận IRSF
Nhóm nghiên cứu của Check Point cho rằng các máy chủ VoIP bị ảnh hưởng có thể bị kẻ tấn công lợi dụng để thực hiện các cuộc gọi đến số IPRN (International Premium Rate Numbers). IPRN là các số chuyên biệt được nhiều doanh nghiệp sử dụng để cung cấp các dịch vụ liên quan đến điện thoại, và các dịch vụ khác như giữ cuộc gọi với mức phí cao hơn.
Số tiền phí này thường được tính cho khách hàng thực hiện cuộc gọi đến các số IPRN, khiến nó trở thành một hệ thống hấp dẫn để thu lợi nhuận. Do đó, chủ sở hữu của một số IPRN nhận được càng nhiều cuộc gọi và thời gian giữ máy của khách hàng càng lâu, thì số tiền mà chủ sở hữu này tính cho nhà cung cấp dịch vụ viễn thông và khách hàng càng cao.
“Việc sử dụng các chương trình IPRN không chỉ cho phép tin tặc thực hiện các cuộc gọi mà còn giúp chúng lợi dụng các máy chủ SIP để thu lợi nhuận. Càng nhiều máy chủ bị khai thác, thì chúng càng có thể thực hiện nhiều lệnh gọi tới số IPRN.”
Đây không phải là lần đầu tiên các hệ thống chuyển mạch bị khai thác để thực hiện các cuộc gian lận chia sẻ doanh thu quốc tế ( IRSF ). IRSF là hành vi chiếm quyền truy cập trái phép vào hệ thống của các doanh nghiệp cung cấp dịch vụ viễn thông, và tăng lưu lượng cuộc gọi đến các số IPRN có được từ một nhà cung cấp chương trình này.
Tháng 9 vừa qua, các nhà nghiên cứu của ESET đã phát hiện một mã độc Linux có tên “ CDRThief ” đang nhắm mục tiêu tới các thiết bị chuyển mạch VoIP, nhằm tìm cách đánh cắp metadata cuộc gọi và thực hiện các chiêu trò gian lận IRSF.
“Nghiên cứu của chúng tôi đã cho thấy cách các tin tặc tại dải Gaza và Bờ Tây kiếm tiền khi mà điều kiện kinh tế xã hội ở các vùng lãnh thổ của Palestine đang ngày càng khắc nghiệt,” Adi Ikan, người đứng đầu bộ phận nghiên cứu an ninh mạng tại Check Point cho biết.
“Gian lận mạng là cách giúp họ nhanh chóng kiếm được một khoản tiền lớn. Và không chỉ các tin tặc vùng Trung Đông, mà trong năm nay chúng ta đang chứng kiến ngày càng nhiều các nhóm hacker lợi dụng mạng xã hội để mở rộng phạm vi tấn công của mình, sau đó kiếm tiền từ các hệ thống VoIP.”
“Với cuộc tấn công vào máy chủ Asterisk, mục tiêu của kẻ tấn công không chỉ là bán quyền truy cập vào các hệ thống bị xâm phạm mà chúng còn lợi dụng cơ sở hạ tầng của hệ thống để thu lợi nhuận về cho mình. Các chương trình IPRN đã khiến cho việc thực hiện các cuộc gọi trái phép và kiếm tiền từ nó dễ dàng cho tội phạm mạng.”
Theo The Hacker News
The post Tin tặc tấn công máy chủ VoIP của hơn 1200 tổ chức trên toàn cầu appeared first on SecurityDaily .
