Osservato l’uso di una variante di malware per il furto di file di registrazioni VoIP e il ricorso ad attività di spionaggio tramite servizio VoIP aziendale

VoIP

Gli internet service provider stanno assistendo a un picco nell’utilizzo del Voice-over Internet Protocol (VoIP) dovuto alla crescente adozione del remote working durante la pandemia Covid-19. Questo incremento è stato rilevato e riportato da molte aziende del settore, tra cui Comcast, che ha dichiarato che l’utilizzo del VoIP e delle video conferenze è aumentato del 210-285% dall’inizio della pandemia.

Sia che i sistemi VoIP, siano gestiti internamente o che siano esternalizzati, restano comunque un’estensione dell’azienda e pertanto fanno parte del perimetro potenzialmente esposto ad attacchi cyber.

Sistemi VoIP vulnerabili sotto diversi punti di vista

I sistemi VoIP sono vulnerabili a diverse tipologie di minacce, tra cui gli attacchi denial-of-service, il furto dei metadati, l’intercettazione del traffico e le truffe basate su numeri a tariffazione speciale, i cosiddetti numeri premium. Gli aggressori possono fare leva su un sistema VoIP non sicuro come punto di ingresso per poi compromettere le reti più critiche o per distogliere l’attenzione del team di sicurezza da altre attività malevole perpetrate nello stesso momento.

Nonostante queste vulnerabilità i sistemi VoIP non ricevono molta attenzione da parte dei reparti IT. Eppure questi sistemi che contengono credenziali di default o usano utenze condivise sono spesso trascurati quando si tratta di installazione di aggiornamenti e di applicazione delle patch per le vulnerabilità. Quindi, anche se l’infrastruttura VoIP gioca un ruolo chiave nell’operatività di molte aziende, il problema alla base è sapere se ci sono attività malevole sulla rete VoIP o meno.

Mandiant Threat Intelligence ha rilevato che spesso gli aggressori provano ad accedere agli account di amministrazione dei sistemi VoIP attraverso furti di credenziali o attraverso tecniche di password brute-force. Questi strumenti di attacco alle credenziali sono ampiamente disponibili e questo significa che gli aggressori, anche senza competenze particolarmente sofisticate, possono compromettere un’infrastruttura VoIP.

L’obiettivo dei metadati e il furto di messaggi vocali

I sistemi VoIP generano registrazioni vocali e metadati che sono spesso l’obiettivo sia degli aggressori dediti allo spionaggio sia sono di interesse per gli aggressori mossi da motivazioni economiche.

Come sottolineato in una nota ufficiale da Gabriele Zanoni, EMEA Solutions Architect di FireEye: «Abbiamo osservato attaccanti usare una variante del malware FINSPY che permette loro di rubare i file di registrazioni VoIP e abbiamo, inoltre, osservato attività di spionaggio dove è stata inviata un’email di phishing che includeva un messaggio vocale legittimo, probabilmente rubato da un servizio VoIP aziendale».

Truffa dei numeri premium

Le truffe “Call Pumping” sono una delle minacce più comuni per le aziende e si basano su sistemi VoIP compromessi. La Communications Fraud Control Association ha recentemente stimato che le perdite finanziarie associate alla truffa dei numeri premium (o IRSF – International Revenue Share Fraud), sono tra i 4 e i 6.1 miliardi di dollari.

Queste truffe possono costare alle aziende colpite milioni di dollari per chiamate illegittime a numeri premium, il che rende questo metodo molto interessante dal punto di vista degli aggressori.

Denial-of-Service telefonico

I sistemi di telefonia VoIP sono vulnerabili agli attacchi Telephony DoS, in cui un grande numero di chiamate illegittime impedisce il passaggio di chiamate legittime. I sistemi VoIP sono potenzialmente esposti a attacchi di denial-of-service diversi tra cui l’essere sommersi da richieste di “invite”, messaggi di “goodbye” o “unavailable” o simili attacchi di flooding. Questa tecnica è molto diffusa e difficile da non rilevare, questo può essere vantaggioso per gli attaccanti in quanto questi sistemi possono essere utilizzati come misure diversive per sovraccaricare il team di sicurezza aziendale mentre gli aggressori si dedicano parallelamente ad altre attività fraudolente.

Manipolazione delle chiamate

Un attacco man-in-the-middle (MitM) di successo consente la manipolazione delle chiamate e può essere utilizzato per facilitare quasi tutte le attività di social engineering tramite telefono, incluso il vishing (phishing basato sulla voce) o per bypassare certi metodi di autenticazione basati sul telefono.

Ancora secondo Zanoni: «Se un attaccante compromettesse il sistema telefonico di una banca, ad esempio, potrebbe reindirizzare le chiamate dei clienti e, con il pretesto di verificarne l’identità, reperire informazioni per poterne poi compromettere il conto».

Un hacker potrebbe anche reindirizzare una chiamata da parte di un istituto finanziario a un cliente per autorizzare una transazione impersonando il cliente stesso.

Estorsione: il futuro dello sfruttamento del VoIP?

La compromissione dell’infrastruttura VoIP può fornire l’accesso a informazioni aziendali critiche e può permettere l’esecuzione di attacchi di denial-of-service. Gli aggressori hanno storicamente utilizzato l’accesso alle informazioni come sistema di estorsione e questo lo si è visto con l’uso da parte degli attaccanti di siti web pubblici per la divulgazione dei dati delle vittime di ransomware. Anche il furto di grandi volumi di dati sulle telefonate può essere soggetto a estorsione, inoltre la trascrizione e l’elaborazione automatica di file audio potrebbe aiutare gli aggressori a identificare più rapidamente i dati aziendali critici.

Considerazioni sulla prevenzione

Infine, per Zanoni: «L’azione migliore che un’azienda possa fare per prevenire i rischi legati al VoIP è considerarne l’infrastruttura come parte della superficie di attacco, indipendentemente dal fatto che sia gestita all’interno o da terzi. L’infrastruttura VoIP è un’estensione di quella IT e come tale richiede monitoraggio, manutenzione e audit come qualsiasi altro settore».

Per proteggere le reti VoIP servono diverse attenzioni, tra cui:

  • Il firmware per i telefoni VoIP e per le relative infrastrutture devono essere patchate con regolarità e le password devono essere modificate rispetto a quelle predefinite;
  • L’autenticazione multifattore dovrebbe essere sempre necessaria per accedere agli account VoIP, specialmente quelli con privilegi amministrativi;
  • Le chiamate ai numeri internazionali o ai numeri premium possono essere limitate per eliminare i pericoli del “Call Pumping”. Elementi quali la durata, la frequenza e il tempo trascorso devono essere monitorati per individuare eventuali anomalie e pattern di abusi;
  • Collocare i telefoni VoIP su una rete separata può impedire che un telefono compromesso venga usato per accedere al altre reti o sistemi;
  • Le organizzazioni dovrebbero avere un piano per i metodi di comunicazione alternativi nel caso in cui i sistemi VoIP non siano disponibili, siano queste interruzioni dovute ad attività Telephony-DoS o altri scenari denial-of-service come ransomware o malware distruttivi.

La pandemia ha costretto al lavoro da casa più persone che mai prima d’ora. Questo scenario ha spinto l’incremento dell’utilizzo del VoIP durante questo periodo e ha ricordato quanto la maggior parte della popolazione dipenda dalla connettività globale. Gli aggressori possono cogliere questa dipendenza per danneggiare il business, distrarre dal lavoro i team di incident response e dei team di sicurezza o per trarre profitto dalle frodi telefoniche.

Le organizzazioni non possono permettersi di lasciare le infrastrutture VoIP fuori dal loro perimetro di difensa.