CYBERCRIMINALS HACK THE PHONES OF 20 CRYPTOCURRENCY EXECUTIVES VIA SMS SPOOFING ATTACK

[Cyc199_77]

In early September, 20 cryptocurrency executives in Israel were victims of a cyberattack that resulted in identity theft, which attackers eventually tried to exploit to steal considerable amounts of virtual assets.

This attack appears to have been deployed by a sophisticated hacking team possibly sponsored by a state actor. The incident also involved a telecommunications company, a cybersecurity company called Pandora and probably a local company.


“On September 7, we were in talks with a potential customer, a deputy director of a company that claimed that his mobile device had been hacked, committing his Telegram account and other platforms,” says a researcher at Pandora, a company that often collaborates in investigating relevant security incidents.

Apparently the hackers sent messages to the victim's contacts from their Telegram account in order to request the sending of cryptocurrencies. Threat actors could have gained access to the account through a SIM duplication attack or via a malware infection: “In total there were about 20 victims, all CEOs of cryptocurrency projects,” the expert report says.


The attackers performed a verification process using the compromised SIM cards, all operated by the same telecommunications company. This access was made possible by abusing SMS verification functions, considered as a secure mechanism by the cybersecurity community.

Although this is a likely cause, specialists have also found another possible explanation: “It is difficult to hijack a user's SMS messages; it is possible in theory, although the attacker must be in a location close to the victim. ” That's why some experts believe that an attack variant known as SMSC impersonation was used, using a smartphone's roaming feature to compromise the device.

“This is a very rare attack. Hackers require sending a message from a foreign network by updating the customer's location, therefore it is possible to abuse roaming mode on the phone, ”the experts mention.

Some threat actor from abroad could have hacked a mobile network in the UK, which completely compromised the SIM cards of those affected. Israeli authorities classify telecommunications networks as critical infrastructure and the security of their data is monitored by the National Cyber Security Authority, which is mandated by a secret security organization, so this incident is considered particularly troubling.

 

[Bogeyman]

Роуминг помог хакерам взломать смартфоны 20 глав криптовалютных компаний.

Порядка двадцати руководителей криптовалютных бирж из Израиля стали жертвами киберпреступников. В начале прошлого месяца злоумышленники взломали их телефоны, похитили все персональные данные и стали отправлять их контактам сообщения с просьбой перевести деньги. Как сообщает издание Haaretz, за кибератакой, в результате которой никакие денежные средства похищены не были, могут стоять хакеры, работающие на правительство. Действующими лицами в расследовании кибератаки стали крупная телекоммуникационная компания, ИБ-фирма Pandora Security и даже служба безопасности Израиля Шин-Бет. К расследованию инцидента также было привлечено Национальное управление по кибербезопасности и Моссад. Все началось 7 сентября нынешнего года, когда сооснователь фирмы Pandora Security, занимающейся защитой высшего руководства компаний, Тцахи Ганот сообщил, что у них появился «новый клиент». Им оказался заместитель финансового директора некой компании, пожаловавшийся на то, что ночью его мобильный телефон был взломан, и учетные записи в Telegram и других сервисах могли быть скомпрометированы. На следующее утро Ганота буквально забросали аналогичными жалобами. По его словам, хакеры взломали телефоны порядка двадцати израильтян, являющихся президентами или вице-президентами криптовалютных компаний. Помимо криптовалюты, жертв объединяло еще одно обстоятельство – все они были абонентами одного оператора связи, израильской телекоммуникационной компании Partner. Каким образом злоумышленникам удалось осуществить взлом? Многие сервисы, в том числе Telegram, для идентификации пользователей используют проверочные коды, отправляемые в SMS-сообщениях. Как правило, с целью перехвата этих сообщений злоумышленники «клонируют» (делают дубликаты) SIM-карты жертвы. Однако на этот раз, похоже, хакерам удалось перехватить SMS-сообщения, отправляемые самим оператором связи. Как показало расследование, хакеры осуществили так называемый спуфинг SMSC, предполагающий использование роуминга. Они получили доступ к заграничной сотовой сети, взаимодействующей непосредственно с израильскими сотовыми сетями, и отправили с заграничной сети в израильскую сообщение, тем самым обновив местоположение клиента. Текст сообщения мог быть, например, таким: «Абонент только что приземлился в Тбилиси и зарегистрировался в нашей сети. Просьба переадресовывать все его сообщения через эту сеть». Как пояснил Ганот, план злоумышленников сработал, поскольку такое обновление местоположения абонента является «необходимой процедурой для людей, въезжающих на территорию иностранного государства, чьи телефоны находятся в режиме роуминга».

Источник: SecurityLab

 

[cylonzero]

i hate caps

 

[Brigand]

i hate caps

What does that have anything to do with the topic?