Hacking

Les chercheurs en cybersécurité ont aujourd’hui dévoilé une opération de cyber-fraude en cours menée par des pirates à Gaza, en Cisjordanie et en Égypte pour compromettre les serveurs VoIP de plus de 1200 organisations dans 60 pays au cours des 12 derniers mois.

Selon les résultats publié par Check Point Research, les acteurs de la menace – censés être situés dans la bande de Gaza palestinienne – ont ciblé Sangoma PBX, une interface utilisateur open-source utilisée pour gérer et contrôler les systèmes téléphoniques VoIP Asterisk, en particulier les serveurs SIP (Session Initiation Protocol) .

« Le piratage des serveurs SIP et la prise de contrôle permettent aux pirates de les abuser de plusieurs manières », a noté la société de cybersécurité dans son analyse. « L’une des façons les plus complexes et les plus intéressantes consiste à abuser des serveurs pour passer des appels téléphoniques sortants, qui sont également utilisés pour générer des bénéfices. Passer des appels est une fonctionnalité légitime, il est donc difficile de détecter lorsqu’un serveur a été exploité. »

En vendant des numéros de téléphone, des plans d’appels et un accès en direct aux services VoIP compromis des entreprises ciblées aux plus offrants, les opérateurs de la campagne ont généré des centaines de milliers de dollars de bénéfices, tout en les dotant de capacités d’écoute des appels légitimes.

Table des matières hide
1 Exploiter une faille de contournement d’authentification d’administrateur distant
2 Un cas de fraude internationale de partage des revenus

Exploiter une faille de contournement d’authentification d’administrateur distant

PBX, abréviation de échange de succursales privées, est un système de commutation utilisé pour établir et contrôler les appels téléphoniques entre les terminaux de télécommunication, tels que les postes téléphoniques habituels, les destinations sur le réseau téléphonique public commuté (RTPC) et les appareils ou services sur la voix sur les réseaux de protocole Internet (VoIP).

Publicité

Les recherches de Check Point ont révélé que l’attaque exploite CVE-2019-19006 (Score CVSS 9,8), une vulnérabilité critique impactant interface Web administrateur de FreePBX et PBXact, permettant potentiellement aux utilisateurs non autorisés d’obtenir un accès administrateur au système en envoyant des paquets spécialement conçus au serveur affecté.

Hacking 1

La faille de contournement de l’authentification de l’administrateur à distance affecte les versions 15.0.16.26 et inférieures de FreePBX, 14.0.13.11 et inférieures, et 13.0.197.13 et inférieures et a été corrigée par Sangoma en novembre 2019.

«L’attaque commence avec SIPVicious, une suite d’outils populaire pour l’audit des systèmes VoIP basés sur SIP», ont noté les chercheurs. « L’attaquant utilise le ‘svmapmodule’ pour rechercher sur Internet des systèmes SIP exécutant des versions FreePBX vulnérables. Une fois trouvé, l’attaquant exploite CVE-2019-19006, obtenant un accès administrateur au système. »

Dans un flux d’attaque, il a été découvert qu’un shell Web PHP initial était utilisé pour obtenir la base de données et les mots de passe du système FreePBX pour différentes extensions SIP, accordant aux attaquants un accès illimité à l’ensemble du système et la possibilité de faire des appels depuis chaque extension. .

Dans la deuxième version de l’attaque, le shell Web initial a été utilisé pour télécharger un fichier PHP codé en base64, qui est ensuite décodé pour lancer un panneau Web permettant à l’adversaire de passer des appels en utilisant le système compromis avec le support FreePBX et Elastix, comme ainsi que d’exécuter des commandes arbitraires et codées en dur.

Le recours de la campagne à Pastebin pour télécharger des shells Web protégés par mot de passe a lié l’attaque à un téléchargeur du nom de «INJ3CTOR3», dont le nom est lié à une ancienne vulnérabilité d’exécution de code à distance SIP (CVE-2014-7235) en plus d’un nombre de groupes Facebook privés utilisés pour partager des exploits de serveur SIP.

Un cas de fraude internationale de partage des revenus

Les chercheurs de Check Point ont avancé que les serveurs VoIP piratés pourraient être utilisés par les attaquants pour passer des appels vers les numéros IPRN (International Premium Rate Numbers) sous leur contrôle. Les IPRN sont des numéros spécialisés utilisés par les entreprises pour proposer des achats par téléphone et d’autres services – comme mettre les appelants en attente – moyennant des frais plus élevés.

Ces frais sont généralement répercutés sur les clients qui appellent ces numéros premium, ce qui en fait un système propice aux abus. Ainsi, plus le propriétaire d’un IPRN reçoit d’appels et plus les clients attendent en ligne pour terminer la transaction, plus il peut facturer d’argent aux fournisseurs de télécommunications et aux clients.

Hackers 1

« L’utilisation de programmes IPRN permet non seulement au pirate de passer des appels, mais aussi d’abuser des serveurs SIP pour générer des bénéfices », ont déclaré les chercheurs. « Plus il y a de serveurs exploités, plus il est possible d’appeler l’IPRN. »

Ce n’est pas la première fois que des systèmes de commutation sont exploités pour la fraude au partage des revenus internationaux (IRSF) – la pratique consistant à accéder illégalement au réseau d’un opérateur pour gonfler le trafic vers les numéros de téléphone obtenu d’un fournisseur IPRN.

En septembre, les chercheurs d’ESET ont découvert un malware Linux surnommé «CDRThief» qui cible les softswitches VoIP dans le but de voler des métadonnées d’appels téléphoniques et de mettre en œuvre des projets IRSF.

« Nos recherches révèlent comment les pirates à Gaza et en Cisjordanie gagnent leur argent, étant donné les conditions socio-économiques désastreuses dans les territoires palestiniens », a déclaré Adi Ikan, responsable de la recherche sur la cybersécurité des réseaux à Check Point.

«Leur opération de cyber-fraude est un moyen rapide de gagner de grosses sommes d’argent, rapidement. Plus largement, nous constatons un phénomène répandu de pirates informatiques utilisant les médias sociaux pour intensifier le piratage et la monétisation des systèmes VoIP cette année.

«L’attaque des serveurs Asterisk est également inhabituelle dans la mesure où l’objectif des acteurs de la menace est non seulement de vendre l’accès aux systèmes compromis, mais également d’utiliser l’infrastructure des systèmes pour générer des bénéfices. Le concept d’IPRN permet un lien direct entre les appels téléphoniques et faire de l’argent. »


Rate this post
Publicité
Article précédentXiaomi travaille sur des smartphones qui se rechargent incroyablement vite – BGR
Article suivantOne Piece a enfoncé l’enfant de Kaido dans un chapitre il y a longtemps
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici