Tietoturva nyt!

16.7.2010

VoIP-puhelinvaihteisiin yritetään tietomurtoja

CERT-FI:n saamien raporttien mukaan Internetiin kytkettyihin puhelinvaihteisiin yritetään paraikaa murtautua. Hyökkäykseen käytetään haittaohjelmien avulla kaapattuja tietokoneita, jotka koestavat kohteena olevien puhelinvaihteiden salasanoja automatisoidusti. Hyökkäyslähteitä on tähän mennessä tunnistettu yli 50 maasta. Kaapattuja puhelinvaihteita käytetään ulkomaanpuheluiden välittämiseen.

Tapaus on raportoitu alun perin ulkomaisista lähteistä, mutta CERT-FI:n suorittaman suppean tiedustelun mukaan myös suomalaisiin VoIP-puhelinvaihteisiin on kohdistettu määrätietoisia hyökkäyksiä. Tapaukset vaikuttaisivat liittyvän toisiinsa. Hyökkäykseen osallistuvia tietokoneita ohjataan keskitetysti niin kutsutun bottiverkon avulla.

Hyökkäykset toteutetaan lähettämällä SIP-sanomia (Session Initiation Protocol) kohteena olevaan puhelinvaihteeseen. Kaapattuja puhelinvaihteita voidaan käyttää esimerkiksi ulkomaanpuhelujen välittämiseen. Hyökkäyksen kohteiksi valikoituneet puhelinvaihteet on tunnistettu aiemmin toteutettujen verkon luotausten (skannaus) avulla.

Hyökkäysten lähteenä on kaapatuista tietokoneista koottu bottiverkko, johon kuuluu satoja koneita. Kaapatut tietokoneet sijaitsevat ympäri maailmaa, suurelta osin Kiinassa. Hyökkäyksille on tyypillistä, että käyttäjätunnus-salasana-yhdistelmiä yritetään arvata nk. brute force -menetelmällä.

Tämänkertaiselle hyökkäykselle tunnusomaista on, että SIP-sanomissa esiintyy usein virheellinen "User-Agent" -kentän arvo. Hyökkäysten samankaltaisuus antaa syytä epäillä, että niiden takana on yksittäinen toimija tai pieni ryhmä.

Internettiin kytkettyjen VoIP-puhelinvaihteiden ja niitä suojaavien palomuurin lokitiedostot olisi syytä tarkastaa mahdollisten tunkeutumisyritysten varalta. Mikäli mahdollista, UDP-porttiin 5060 kohdistuvaa saapuvaa SIP-liikennettä tulisi rajoittaa ja yleiseen puhelinverkkoon yhdistyviä VoIP-puheluita tulee valvoa tarkasti. Ennen kaikkea käytettävien salasanojen vahvuuteen tulee kiinnittää huomiota.

CERT-FI ei ole tällä hetkellä käytettävissä olevien tietojen perusteella kyennyt selvittämään bottiverkon komentopalvelimia. Osa hyökkäyslähteistä sijaitsee sellaisissa maissa, joissa tyypillisesti ei reagoida tietoturvaloukkausilmoituksiin.

Lisätietoa

• 11.7.2010 www.usken.no: Using botnets to do SIP scanning
• 2.7.2010 asterix-users sähköpostilista: Brute force attacks
• 16.4.2010 Internet Storm Center: SIP Attacks on internet connected port 5060 targeting Asterix servers
• 14.4.2010 www.usken.no: Extreme SIP scanning latest week