Екипът за реагиране при компютърни инциденти на Украйна (CERT-UA) разкри, че между май и септември 2023 г. заплахи са се „намесили“ в работата на поне 11 доставчици на телекомуникационни услуги в страната.
Агенцията проследява дейността под името UAC-0165, като посочва, че намесите са довели до прекъсване на услугите за клиентите.
Началната точка на атаките е разузнавателна фаза, при която мрежата на телекомуникационната компания се сканира, за да се идентифицират открити RDP или SSH интерфейси и потенциални точки за влизане.
„Трябва да се отбележи, че дейностите по разузнаване и експлоатация се извършват от предварително компрометирани сървъри, разположени по-специално в украинския сегмент на интернет“, заявиха от CERT-UA.
„За маршрутизиране на трафика през такива възли се използват прокси сървъри Dante, SOCKS5 и други“.
Атаките се отличават с използването на две специализирани програми, наречени POEMGATE и POSEIDON, които позволяват кражба на удостоверения и дистанционно управление на заразените хостове. За да се изтрие съдебната следа, се изпълнява помощна програма, наречена WHITECAT.
Нещо повече, постоянният неоторизиран достъп до инфраструктурата на доставчика се постига с помощта на обикновени VPN акаунти, които не са защитени чрез многофакторно удостоверяване.
Успешният пробив е последван от опити за деактивиране на мрежово и сървърно оборудване, по-специално оборудване Mikrotik, както и на системи за съхранение на данни.
Разработката идва в момент, когато агенцията заяви, че е наблюдавала четири фишинг вълни, извършени от хакерски екип, който тя проследява като групата UAC-0006, използваща зловредния софтуер SmokeLoader през първата седмица на октомври 2023 г.
„За изпращане на имейли се използват легитимни компрометирани имейл адреси, а SmokeLoader се доставя на компютрите по няколко начина“, заяви CERT-UA.
„Намерението на нападателите е да атакуват компютрите на счетоводителите, за да откраднат данни за удостоверяване (потребителско име, парола, ключ/сертификат) и/или да променят данните на финансови документи в отдалечени банкови системи, за да изпратят неоторизирани плащания.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.