O grupo de hackers patrocinado pelo estado russo, conhecido como 'Sandworm', comprometeu onze prestadores de serviços de telecomunicações na Ucrânia entre maio e setembro de 2023.
Isso se baseia em um novo relatório da Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA), citando 'recursos públicos' e informações recuperadas de alguns provedores violados.
A agência afirma que os hackers russos "interferiram" nos sistemas de comunicação de 11 empresas de telecomunicações no país, levando a interrupções de serviço e possíveis violações de dados.
Sandworm é um grupo de ameaças de espionagem muito ativo vinculado ao GRU (forças armadas) da Rússia.
Os invasores se concentraram na Ucrânia durante todo o ano de 2023, usando iscas de phishing, malware para Android e limpadores de dados.
Os ataques começam com Sandworm realizando reconhecimento das redes das empresas de telecomunicações usando a ferramenta 'masscan' para realizar varreduras na rede do alvo.
O Sandworm procura por portas abertas e interfaces RDP ou SSH não protegidas que podem usar para violar a rede.
Além disso, os invasores utilizam ferramentas como 'ffuf', 'dirbuster', 'gowitness' e 'nmap' para encontrar vulnerabilidades potenciais em serviços web que podem ser exploradas para obter acesso.
Contas VPN comprometidas que não eram protegidas pela autenticação de múltiplos fatores também foram usadas para obter acesso à rede.
Para tornar suas intrusões mais discretas, o Sandworm usa 'Dante', 'socks5' e outros servidores proxy para direcionar suas atividades maliciosas através de servidores dentro da região de internet da Ucrânia que foram comprometidos anteriormente, tornando-se menos suspeito.
O CERT-UA relatou ter visto dois backdoors nos sistemas ISP violados, a saber, 'Poemgate' e 'Poseidon'.
Poemgate captura as credenciais dos administradores que tentam autenticar no endpoint comprometido, fornecendo aos invasores acesso a contas adicionais que podem usar para movimentação lateral ou infiltração mais profunda na rede.
Poseidon é um backdoor do Linux que, segundo a agência ucraniana, "inclui a gama completa de ferramentas de controle remoto de computador".
A persistência para Poseidon é alcançada modificando o Cron para adicionar trabalhos não autorizados.
O Sandworm usa a ferramenta 'Whitecat' para remover os rastros do ataque e excluir os logs de acesso.
Nas etapas finais do ataque, os hackers foram vistos implantando scripts que causariam interrupção do serviço, focando especialmente em equipamentos Mikrotik, e apagando backups para tornar a recuperação mais desafiadora.
O CERT-UA aconselha que todos os provedores de serviços no país sigam as recomendações deste guia para tornar mais difícil para os invasores cibernéticos violar seus sistemas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...