黑客入侵 1200 家公司的 VoIP 服务器，在 60 多个国家进行多起网络欺诈

网络欺诈是不法分子一种快速赚钱的方式，现在有黑客开始利用社交媒体入侵 VoIP 服务器，获得数十万美元利润的同时还对目标企业的电话进行着窃听。

网络安全研究人员破获了一起加沙、约旦河西岸和埃及黑客领导的国际网络欺诈案件，这些黑客在过去的 12 个月里，入侵了 60 多个国家 1200 多个组织的 VoIP 服务器。

针对开源用户界面，获利数十万美元

根据 Check Point Research 发布的调查结果，这些黑客针对的是一种开源用户界面 Sangoma PBX， Sangoma PBX 用于管理和控制 Asterisk VoIP 电话系统，特别是会话发起协议（SIP）服务器。

这家网络安全公司在其分析中指出：“黑客可以控制 SIP 服务器滥用各种功能，拨打欺诈电话获利。”令网络安全研究人员头疼的是，拨打电话是一项合法功能，因此他们很难检测到黑客何时利用了服务器。

除了拨打电话，黑客还会通过向出价最高的公司出售电话号码、通话计划和实时获取受到破坏的 VoIP 服务。目前，这些黑客已经通过这些方式获得了数十万美元的利润。

利用远程管理员身份绕过验证

PBX 是专用分支交换机的简称，是一种交换系统，用于在电信端点之间建立和控制电话呼叫，例如通常的电话机、公共交换电话网上的目的地（PSTN）和互联网协议（VoIP）网络上的设备或服务。

Check Point Research 发现，该攻击利用了 CVE-2019-19006（CVSS score 9.8），这一严重漏洞，影响了 FreePBX 和 PBXact 的管理员 Web 界面，可能允许未经授权的用户通过向受影响的服务器发送特制的数据包来获得对系统的管理访问。远程管理员身份验证绕过漏洞影响 FreePBX 15.0.16.26 及以下版本，14.0.13.11 及以下版本，13.0.197.13 及以下版本，并在 2019 年 11 月由 Sangoma 修复。

研究人员指出，这种攻击始于 SIPVicious，一种流行的工具套件，用于审核基 于SIP 的 VoIP 系统。攻击者使用 svmapmodule 扫描互联网，寻找运行易受攻击的 FreePBX 版本的 SIP 系统，一旦发现目标，攻击者就会利用 CVE-2019-19006 获得对系统的管理访问权限。

在一个攻击流程中，研究人员发现一个初始的 PHP Web Shell 被用来获取 FreePBX 系统的数据库和不同 SIP 扩展名的密码，从而使攻击者可以不受限制地访问整个系统，并且可以从每个扩展名进行呼叫。

在第二个版本的攻击中，最初的 Web Shell 被用于下载 base64 编码的 PHP 文件，然后将其解码以启动 Web 界面，该平台可使用具有 FreePBX 和 Elastix 支持的受损系统进行调用，并运行任意和硬编码的命令。

该攻击依赖 Pastebin 下载受密码保护的 Web Shell，因此将这次攻击与一个名为“ INJ3CTOR3”的上传程序联系起来，该上传程序的名字与一个老的 SIP 远程代码执行漏洞（CVE-2014-7235）以及一些用于共享 SIP 服务器漏洞的 Facebook 私人群组相关联。

黑客如何在国际网络欺诈中赚钱？

Check Point研究人员认为，被黑客攻击的 VoIP 服务器可能被黑客利用，在他们的控制下拨打国际高级费率号码（IPRN）。IPRN 是企业使用的专门号码，用于提供电话购物和其他服务，比如让来电者等待，以获取更高的费用。

这笔费用通常会转嫁给拨打这些国际高级费率号码的客户，从而使其成为可以滥用的系统。因此，IPRN 的所有者接到的电话越多，客户等待完成交易的时间越长，它向电信运营商和客户收取的费用就越多。

研究人员说：“使用 IPRN 程序不仅允许黑客打电话，而且还可以滥用 SIP 服务器来获取利润。被利用的服务器越多，可以向 IPRN 发出的呼叫就越多。”
这已经不是交换系统第一次被用于国际税收分成欺诈（IRSF），这种行为是非法进入运营商的网络，以便向从 IPRN 提供商获得的电话号码夸大流量。
早在今年 9 月，ESET 研究人员就发现了名为“CDRThief”的 Linux 恶意软件，该恶意软件以 VoIP 软交换为目标，企图窃取电话通话元数据并实施 IRSF 计划。

Check Point 网络网络安全研究主管 Adi Ikan 表示：“我们的研究表明，我们的研究揭示了加沙和约旦河西岸的黑客如何在巴勒斯坦地区恶劣的社会经济条件下赚钱。”

对 Asterisk 服务器的攻击是十分罕见的，因为黑客的目标不仅是出售对受损系统的访问权，而且还利用系统的基础设施来赚钱。IPRN 的概念允许在打电话和赚钱之间建立直接联系。