Οι Ρώσοι κρατικοί hackers “Sandworm” έχουν στοχεύσει έντεκα παρόχους τηλεπικοινωνιών στην Ουκρανία μεταξύ Μαΐου και Σεπτεμβρίου 2023, σύμφωνα με μια νέα αναφορά του Computer Emergency Response Team (CERT-UA) της χώρας.
Ο οργανισμός αναφέρει ότι οι Ρώσοι hackers “παρενέβησαν” στα συστήματα επικοινωνίας 11 εταιρειών τηλεπικοινωνιών στη χώρα, οδηγώντας σε διακοπές υπηρεσιών και πιθανές παραβιάσεις δεδομένων.
Η Sandworm είναι μια πολύ γνωστή και ενεργή ομάδα που ασχολείται κυρίως με την κυβερνοκατασκοπεία προς όφελος της GRU (ένοπλες δυνάμεις) της Ρωσίας. Οι επιτιθέμενοι έχουν επικεντρωθεί στην Ουκρανία καθ’ όλη τη διάρκεια του 2023, χρησιμοποιώντας θέλγητρα phishing, κακόβουλο λογισμικό Android και data-wipers.
Δείτε επίσης: Sandworm: Χρησιμοποίησε WinRAR για την καταστροφή δεδομένων μιας ουκρανικής κρατικής υπηρεσίας
Στόχευση παρόχων τηλεπικοινωνιών στην Ουκρανία
Οι επιθέσεις της Sandworm ξεκινούν με την εκτέλεση reconnaissance σε δίκτυα των εταιρειών τηλεπικοινωνιών, χρησιμοποιώντας το εργαλείο “masscan“. Με αυτό, πραγματοποιούνται σαρώσεις στο δίκτυο του στόχου.
Η Sandworm ψάχνει για ανοιχτές θύρες και μη προστατευμένα RDP ή SSH interfaces που μπορούν να χρησιμοποιηθούν για την παραβίαση του δικτύου.
Επιπλέον, οι εισβολείς χρησιμοποιούν εργαλεία όπως “ffuf“, “dirbuster“, “gowitness” και “nmap” για να βρουν πιθανές ευπάθειες σε υπηρεσίες, που μπορούν να αξιοποιηθούν για να αποκτήσουν πρόσβαση.
Παραβιασμένοι λογαριασμοί VPN που δεν προστατεύονταν με έλεγχο ταυτότητας πολλαπλών παραγόντων έχουν, επίσης, αξιοποιηθεί για την απόκτηση πρόσβασης.
Επιπλέον, οι Ρώσοι hackers Sandworm χρησιμοποιούν “Dante“, “socks5” και άλλους proxy servers για να δρομολογήσουν τις κακόβουλες δραστηριότητές τους μέσω διακομιστών εντός της ουκρανικής περιοχής Διαδικτύου, που είχαν παραβιάσει προηγουμένως.
Το CERT-UA εντόπισε δύο backdoors σε παραβιασμένα συστήματα ISP: το “Poemgate” και το “Poseidon“.
Το Poemgate καταγράφει τα credentials των διαχειριστών, παρέχοντας στους εισβολείς πρόσβαση σε πρόσθετους λογαριασμούς που μπορούν να χρησιμοποιήσουν για lateral movement ή βαθύτερη διείσδυση στο δίκτυο.
Δείτε επίσης: Ρώσοι hackers στοχεύουν τον Ουκρανικό στρατό με το Infamous Chisel malware
Το Poseidon είναι ένα Linux backdoor που περιλαμβάνει δυνατότητες απομακρυσμένου ελέγχου
. Το Persistence επιτυγχάνεται με την τροποποίηση του Cron για να προσθέσει rogue jobs.Επίσης, οι Ρώσοι hackers Sandworm χρησιμοποιούν το εργαλείο “Whitecat” για να αφαιρέσουν τα ίχνη της επίθεσης και να διαγράψουν τα αρχεία καταγραφής πρόσβασης.
Στα τελευταία στάδια της επίθεσης, οι hackers φαίνεται πως αναπτύσσουν scripts που θα μπορούσαν να προκαλέσουν διακοπή της υπηρεσίας και διαγράφουν αντίγραφα ασφαλείας για να κάνουν την ανάκτηση πιο δύσκολη.
Το CERT-UA συμβουλεύει όλους τους παρόχους τηλεπικοινωνιών της Ουκρανίας να ακολουθούν τις οδηγίες προστασίας που προτείνει, για να καταστήσουν πιο δύσκολη την παραβίαση των δικτύων τους.
Γιατί οι hackers στοχεύουν εταιρείες τηλεπικοινωνιών;
Οι εταιρείες τηλεπικοινωνιών αποτελούν αγαπημένο στόχο των hackers γιατί μια επίθεση σε αυτές μπορεί να προκαλέσει σοβαρά προβλήματα. Οι επιτιθέμενοι μπορούν να διαταράξουν ή ακόμα και να καταργήσουν, για ένα χρονικό διάστημα, τη λειτουργία ολόκληρου του τηλεπικοινωνιακού συστήματος μιας χώρας. Αυτό θα μπορούσε να προκαλέσει σοβαρές επιπτώσεις στις εθνικές υποδομές, στην εθνική ασφάλεια και στη σταθερότητα της χώρας.
Δείτε επίσης: Ουκρανοί χάκερ τρολάρουν το ρωσικό ναυτικό, στέλνουν malware στα τηλέφωνά τους
Επιπλέον, οι αποκαλύψεις δείχνουν ότι οι κυβερνετικές επιθέσεις στα τηλεπικοινωνιακά δίκτυα μπορούν να αποτελέσουν μια καινούρια και άκρως απειλητική μορφή κυβερνο-πολέμου. Στη συγκεκριμένη περίπτωση, οι Sandworm hackers κατάφεραν να παραβιάσουν πολλούς παρόχους τηλεπικοινωνιών της Ουκρανίας, εκθέτοντας την ευάλωτη φύση αυτών των κρίσιμων υποδομών.
Πηγή: www.bleepingcomputer.com