Reklama

Cyberbezpieczeństwo

Ukraina. Rosyjscy hakerzy włamali się do telekomów

Autor. Jernej Furman / Flickr

Rosyjscy hakerzy z grupy Sandworm od maja tego roku włamali się do 11 ukraińskich telekomów - wynika z danych ukraińskiego zespołu reagowania na incydenty CERT-UA.

Reklama

Rosyjscy hakerzy z grupy Sandworm działającej na zlecenie Kremla, od maja do września tego roku włamali się do 11 ukraińskich telekomów. Dane takie podaje ukraiński CERT-UA, powołując się zarówno na źródła publiczne, jak i na informacje płynące z zaatakowanych firm telekomunikacyjnych.

Reklama

Cytowani przez serwis Bleeping Computer przedstawiciele CERT-UA twierdzą, że rosyjscy cyberprzestępcy „interferowali” z systemami komunikacji 11 telekomów na Ukrainie. Doprowadziło do to problemów takich, jak przerwy w dostawie usług, mogło też przełożyć się na wycieki danych.

Serwis przypomina, że Sandworm to grupa niezwykle aktywna, której działania należy łączyć z rosyjskim wywiadem wojskowym GRU. Grupa ta bierze aktywny udział w wojnie na Ukrainie, o czym pisaliśmy na naszych łamach w licznych tekstach, np. tu. Warto przy tym wspomnieć, że metody, którymi posługuje się ta grupa, to przede wszystkim socjotechnika (phishing), a następnie instalowanie złośliwego oprogramowania na telefonach z Androidem, jak i wykorzystanie wiperów (wirusów, które niszczą dane na zainfekowanym komputerze).

Reklama

Jakie luki wykorzystuje Sandworm?

Według ekspertów CERT-UA, dwa backdoory w systemach dostawców łączności, znane jako Poemgate i Poseidon.

Pierwszy z nich pozwala na przechwycenie danych do logowania administratora, który chce uwierzytelnić swój dostęp do sieci na zaatakowanej stacji roboczej. To właśnie w ten sposób atakujący zyskują dostęp do kolejnych kont w ramach sieci, które później mogą wykorzystać do dalszej i głębszej infiltracji.

Poseidon to z kolei backdoor w systemie Linux, który zdaniem CERT-UA umożliwia korzystanie z całego szeregu narzędzi zdalnej kontroli. Następnie, grupa Sandworm usuwa ślady swojej działalności przy pomocy narzędzia Whitecat.

Ostatnim stadium ataku jest wykorzystanie skryptów, które zakłócają działanie usług łączności, a także wyczyszczenie kopii zapasowych, co sprawia, że ofierze hakerów znacznie trudniej „dojść do siebie” i przywrócić normalną działalność post mortem.

Więcej o grupie Sandworm i o sposobach jak i celach jej działania, można przeczytać na naszych łamach w tym materiale.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].

Reklama
Reklama

Komentarze