Cyberbezpieczeństwo
Ukraina. Rosyjscy hakerzy włamali się do telekomów
Rosyjscy hakerzy z grupy Sandworm od maja tego roku włamali się do 11 ukraińskich telekomów - wynika z danych ukraińskiego zespołu reagowania na incydenty CERT-UA.
Rosyjscy hakerzy z grupy Sandworm działającej na zlecenie Kremla, od maja do września tego roku włamali się do 11 ukraińskich telekomów. Dane takie podaje ukraiński CERT-UA, powołując się zarówno na źródła publiczne, jak i na informacje płynące z zaatakowanych firm telekomunikacyjnych.
Cytowani przez serwis Bleeping Computer przedstawiciele CERT-UA twierdzą, że rosyjscy cyberprzestępcy „interferowali” z systemami komunikacji 11 telekomów na Ukrainie. Doprowadziło do to problemów takich, jak przerwy w dostawie usług, mogło też przełożyć się na wycieki danych.
Serwis przypomina, że Sandworm to grupa niezwykle aktywna, której działania należy łączyć z rosyjskim wywiadem wojskowym GRU. Grupa ta bierze aktywny udział w wojnie na Ukrainie, o czym pisaliśmy na naszych łamach w licznych tekstach, np. tu. Warto przy tym wspomnieć, że metody, którymi posługuje się ta grupa, to przede wszystkim socjotechnika (phishing), a następnie instalowanie złośliwego oprogramowania na telefonach z Androidem, jak i wykorzystanie wiperów (wirusów, które niszczą dane na zainfekowanym komputerze).
Jakie luki wykorzystuje Sandworm?
Według ekspertów CERT-UA, dwa backdoory w systemach dostawców łączności, znane jako Poemgate i Poseidon.
Pierwszy z nich pozwala na przechwycenie danych do logowania administratora, który chce uwierzytelnić swój dostęp do sieci na zaatakowanej stacji roboczej. To właśnie w ten sposób atakujący zyskują dostęp do kolejnych kont w ramach sieci, które później mogą wykorzystać do dalszej i głębszej infiltracji.
Poseidon to z kolei backdoor w systemie Linux, który zdaniem CERT-UA umożliwia korzystanie z całego szeregu narzędzi zdalnej kontroli. Następnie, grupa Sandworm usuwa ślady swojej działalności przy pomocy narzędzia Whitecat.
Ostatnim stadium ataku jest wykorzystanie skryptów, które zakłócają działanie usług łączności, a także wyczyszczenie kopii zapasowych, co sprawia, że ofierze hakerów znacznie trudniej „dojść do siebie” i przywrócić normalną działalność post mortem.
Więcej o grupie Sandworm i o sposobach jak i celach jej działania, można przeczytać na naszych łamach w tym materiale.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].