Σύμφωνα με το Computer Emergency Response Team (CERT-UA) της Ουκρανίας, οι Ρώσοι hackers Sandworm στόχευσαν περίπου 20 εγκαταστάσεις κρίσιμων υποδομών στη χώρα με στόχο να διαταράξουν τη λειτουργία τους.
Πιστεύεται ότι οι hackers Sandworm συνδέονται με την Κεντρική Διεύθυνση του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσίας (GRU) και πραγματοποιούν επιθέσεις με στόχο την κυβερνοκατασκοπεία. Είναι, επίσης, γνωστοί ως BlackEnergy, Seashell Blizzard, Voodoo Bear και APT44.
Το CERT-UA αναφέρει ότι τον Μάρτιο του 2024, οι Ρώσοι hackers διεξήγαγαν επιθέσεις για να διαταράξουν τα συστήματα πληροφοριών και επικοινωνιών σε προμηθευτές ενέργειας, νερού και θέρμανσης σε 10 περιοχές της Ουκρανίας. Σε ορισμένες περιπτώσεις, οι hackers Sandworm μπόρεσαν να διεισδύσουν στο δίκτυο των στόχων μολύνοντας την αλυσίδα εφοδιασμού για να παραδώσουν παραβιασμένο ή ευάλωτο λογισμικό.
Δείτε επίσης: Η ομάδα Sandworm πραγματοποιεί επιθέσεις ως hacktivists
Η hacking ομάδα χρησιμοποίησε, επίσης, παλιά και νέα κακόβουλα λογισμικά για να αποκτήσει πρόσβαση και να μετακινηθεί στο δίκτυο.
Οι εμπειρογνώμονες του CERT-UA έχουν επιβεβαιώσει την παραβίαση τουλάχιστον τριών “supply chains”. Το ουκρανικό πρακτορείο κυβερνοασφάλειας σημειώνει ότι οι παραβιάσεις των hackers Sandworm ήταν ευκολότερες λόγω των κακών πρακτικών ασφαλείας που εφάρμοζαν οι στόχοι (π.χ. έλλειψη τμηματοποίησης δικτύου και ανεπαρκείς άμυνες σε επίπεδο προμηθευτή λογισμικού).
Από τις 7 Μαρτίου έως τις 15 Μαρτίου 2024, το CERT-UA συμμετείχε σε εκτεταμένες επιχειρήσεις αντεπίθεσης στον κυβερνοχώρο, οι οποίες περιελάμβαναν ενημέρωση των επηρεαζόμενων επιχειρήσεων, αφαίρεση κακόβουλου λογισμικού και ενίσχυση μέτρων ασφαλείας.
Σύμφωνα με την έρευνα, οι hackers Sandworm χρησιμοποίησαν κυρίως τα ακόλουθα malware για να επιτεθούν στις κρίσιμες υποδομές της Ουκρανίας:
QUEUESEED/IcyWell/Kapeka: Backdoor που στοχεύει Windows μηχανήματα, συλλέγει βασικές πληροφορίες συστήματος και εκτελεί εντολές από έναν απομακρυσμένο διακομιστή. Οι επικοινωνίες είναι ασφαλείς μέσω HTTPS και τα δεδομένα κρυπτογραφούνται με χρήση RSA και AES.
BIASBOAT (νέο): Πρόκειται για μια νέα παραλλαγή Linux του QUEUESEED. Εμφανίζεται ως encrypted file server και λειτουργεί παράλληλα με το LOADGRIP.
LOADGRIP (νέο): Άλλη μια παραλλαγή Linux του QUEUESEED που χρησιμοποιείται για την εισαγωγή payload σε διεργασίες χρησιμοποιώντας ptrace API. Το payload είναι συνήθως κρυπτογραφημένο και το κλειδί αποκρυπτογράφησης προέρχεται από ένα σταθερό και ένα machine-specific ID.
GOSSIPFLOW: Ένα malware για Windows για τη ρύθμιση tunneling χρησιμοποιώντας το Yamux multiplexer library. Παρέχει SOCKS5 proxy functionality για την εξαγωγή δεδομένων και την ασφαλή επικοινωνία με τον διακομιστή εντολών και ελέγχου.
Δείτε επίσης: Οι Ρώσοι hackers Sandworm χρησιμοποιούν το νέο backdoor Kapeka
Επιπλέον, το CERT-UA εντόπισε και άλλα κακόβουλα εργαλεία που χρησιμοποιούν οι hackers Sandworm, όπως τα Weevly webshell, το Regeorg.Neo, Pitvotnacci και Chisel tunnelers, LibProcessHider, JuicyPotatoNG και RottenPotatoNG.
Οι επιτιθέμενοι χρησιμοποίησαν αυτά τα εργαλεία για να διατηρήσουν persistence, να αποκρύψουν κακόβουλες διαδικασίες και να αυξήσουν τα προνόμιά τους σε παραβιασμένα συστήματα.
Προστασία κρίσιμων υποδομών Ουκρανίας
Ευτυχώς, υπάρχουν κάποιες μέθοδοι αντιμετώπισης των επιθέσεων. Πρώτα απ’ όλα, είναι σημαντικό να χρησιμοποιούνται λογισμικά antivirus και προγράμματα ασφαλείας.
Επιπλέον, η δημιουργία τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων και αρχείων μπορεί να αποτρέψει την απώλεια πληροφοριών σε περίπτωση επίθεσης.
Δείτε επίσης: MITRE: Hackers παραβίασαν τα συστήματα μέσω ευπαθειών Ivanti
Η εκπαίδευση των χρηστών σχετικά με την αναγνώριση και την αποφυγή ύποπτων email και συνδέσμων είναι επίσης μια αποτελεσματική μέθοδος για την πρόληψη της εγκατάστασης malware.
Η ενημέρωση των συστημάτων και των εφαρμογών είναι, επίσης, απαραίτητη για τη διόρθωση κενών ασφαλείας, που μπορούν να εκμεταλλευτούν οι hackers.
Τέλος, η συνεργασία με ειδικούς στην ασφάλεια των πληροφοριακών συστημάτων είναι απαραίτητη για την ενίσχυση της κυβερνοασφάλειας.
Πηγή: www.bleepingcomputer.com