Sommario
L’APT sponsorizzato dallo stato russo, noto come “Sandworm”, ha compromesso undici fornitori di servizi di telecomunicazione in Ucraina tra maggio e settembre 2023. Questo emerge da un nuovo rapporto del Computer Emergency Response Team dell’Ucraina (CERT-UA).
Dettagli dell’attacco
Il CERT-UA ha riferito che gli hacker russi hanno “interferito” con i sistemi di comunicazione di 11 compagnie telefoniche nel paese, causando interruzioni di servizio e potenziali violazioni dei dati. Sandworm, legato alle forze armate GRU della Russia, ha concentrato la sua attenzione sull’Ucraina nel 2023, utilizzando tecniche come phishing, malware per Android e cancellatori di dati.
Metodologia dell’attacco
L’attacco inizia con Sandworm che esegue un’attività di ricognizione sulle reti delle compagnie di telecomunicazione utilizzando lo strumento “masscan”. Gli hacker cercano porte aperte e interfacce RDP o SSH non protette per compromettere la rete. Utilizzano anche strumenti come “ffuf”, “dirbuster”, “gowitness” e “nmap” per individuare potenziali vulnerabilità nei servizi web. Hanno sfruttato account VPN compromessi, non protetti dalla doppia autenticazione, per accedere alle reti. Per rendere le loro intrusioni meno rilevabili, Sandworm utilizza server proxy come “Dante” e “socks5” per indirizzare le loro attività malevole attraverso server all’interno della regione internet ucraina precedentemente compromessa.
Strumenti e backdoor utilizzati
CERT-UA ha identificato due backdoor nei sistemi ISP compromessi, chiamate “Poemgate” e “Poseidon”. “Poemgate” cattura le credenziali degli amministratori che tentano di autenticarsi nel punto finale compromesso, mentre “Poseidon” è una backdoor Linux che offre una gamma completa di strumenti di controllo remoto del computer. Sandworm utilizza anche lo strumento “Whitecat” per eliminare le tracce dell’attacco e cancellare i registri di accesso. Nelle fasi finali dell’attacco, gli hacker hanno implementato script che causano interruzioni di servizio, concentrandosi in particolare sulle apparecchiature Mikrotik, e cancellano i backup per rendere più difficile il recupero.
Raccomandazioni
CERT-UA consiglia a tutti i fornitori di servizi nel paese di seguire le raccomandazioni fornite nella loro guida per rendere più difficile l’accesso ai sistemi da parte degli intrusi informatici.
