Voltar
Tabela de conteúdo

Resumo Executivo

Durante um período de 18 dias, um único serviço SIP exposto à Internet registrou 15.183.358 eventos de telemetria — aproximadamente 3.787.791 requisições SIP distintas — de 323 endereços de origem únicos. O tráfego não era ruído aleatório. Foi um ataque sustentado e automatizado à camada de telefonia, dominado por roubo de credenciais em escala industrial e um fluxo paralelo de tentativas de chamadas de fraude de tarifação internacional.

Duas atividades são responsáveis por quase todo o tráfego com intenção. A primeira é Força bruta de registro SIP em escala industrial: 1.869.521 tentativas de autenticação contendo credenciais Digest completas, distribuídas por 29.433 identidades de ramal distintas. A segunda é fraude de tarifação: 89.465 tentativas de configuração de chamada (INVITE), esmagadoramente direcionadas a faixas de números de partilha de receita do Reino Unido e executadas através de sondagem mecânica de plano de discagem. Uma fatia menor, mas estrategicamente importante, do tráfego reproduz desafios de autenticação coletados de outros sistemas PBX reais — evidência de que este sensor está inserido em uma economia muito maior de coleta de credenciais.

Como o material de autenticação capturado está completo, a senha real em texto simples por trás de 96,09% de todas as 1.869.521 tentativas de credenciais pôde ser determinada. O resultado é um dicionário recuperado de 277.632 senhas únicas e 1.499.846 pares únicos de ramal/senha — uma visão direta e desobstruída da lista de palavras que uma operação ativa de fraude VoIP está espalhando pela Internet hoje.

Figura 1. Volume diário de eventos SIP. Uma campanha concentrada e de alta intensidade entre 8 e 12 de maio supera a linha de base circundante.

Principais Conclusões

  • A ameaça dominante é a coleta de credenciais, não a adivinhação oportunista. Um punhado de hosts espalhou um dicionário curado de 277.632 senhas — com peso para strings de média e alta complexidade, não apenas 1234 — contra cada número de ramal PBX comum.
  • A fraude de tarifação é direcionada e impulsionada pela receita. 47.273 das 89.465 tentativas de chamada visaram números do Reino Unido, concentradas em um pequeno conjunto de faixas rurais e da Irlanda do Norte consistentes com a Fraude Internacional de Partilha de Receita (IRSF).
  • A infraestrutura de ataque é barata, europeia e altamente concentrada. Uma única rede de hospedagem (OVH, AS16276) originou 6.559.589 eventos; um único /24 (15.204.157.0/24) produziu 5.178.084 por si só.
  • As fontes são maliciosas e hospedadas em servidores, não em conexões domésticas das vítimas. Cruzando com inteligência de IP de terceiros, 93,5% dos endereços de atacantes já constam em uma lista de abusadores conhecidos e 99,8% do tráfego atribuído à origem provinha de faixas de datacenters/hospedagem.
  • As operações funcionam ininterruptamente e rotacionam a identidade, não o comportamento. As ferramentas emulam agentes de usuário FreePBX, Cisco, Polycom e Avaya, mas deixam assinaturas estáveis — mais notavelmente um Contact de registro fixo (hardcoded) de sip:[email protected] presente em 3.396.685 requisições de registro.
  • O honeypot nunca concedeu acesso. Cada autenticação foi rejeitada; o valor aqui é inteligência — listas de palavras de adversários, números-alvo, ferramentas e infraestrutura — não o impacto da violação.

Clique Aqui Para Baixar O Relatório Completo

Vikas Kundu
A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.
Nenhum item encontrado.

Blogs relacionados