Ουκρανία: Η Ρωσική ομάδα Ember Bear χάκαρε κυβερνητικά sites: Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) είπε ότι Ρώσοι κρατικοί χάκερ έχουν παραβιάσει πολλά κυβερνητικά site αυτήν την εβδομάδα χρησιμοποιώντας backdoors που είχαν “φυτευτεί” από τον Δεκέμβριο του 2021.
Το CERT-UA εντόπισε τις επιθέσεις αφού ανακάλυψε ένα web shell το πρωί της Πέμπτης σε έναν από τα χακαρισμένα site που χρησιμοποιούσαν οι απειλητικοί φορείς (που παρακολουθούνται ως UAC-0056, Ember Bear ή Lorec53) για να εγκαταστήσουν επιπλέον κακόβουλο λογισμικό.
Αυτό το web shell δημιουργήθηκε τον Δεκέμβριο του 2021 και χρησιμοποιήθηκε για την ανάπτυξη backdoor CredPump, HoaxPen και HoaxApe πριν από ένα χρόνο, τον Φεβρουάριο του 2022, σύμφωνα με το CERT-UA.
Οι απειλητικοί παράγοντες χρησιμοποίησαν το GOST (Go Simple Tunnel) και εργαλεία Ngrok κατά τα πρώτα στάδια της επίθεσης τους για να αναπτύξουν την backdoor HoaxPen.
Δείτε επίσης: Η Ουκρανία συνδέει phishing που στοχεύει ένοπλες δυνάμεις με Λευκορώσους χάκερ
«Σήμερα, στις 23 Φεβρουαρίου, εντοπίστηκε επίθεση σε διάφορους ιστότοπους των ουκρανικών κεντρικών και τοπικών αρχών, με αποτέλεσμα την τροποποίηση του περιεχομένου ορισμένων ιστοσελίδων τους. Αυτή τη στιγμή, στο πλαίσιο της Ενωμένης Ομάδας Αντίδρασης στο πλαίσιο του Εθνικού Κέντρου Συντονισμού Κυβερνοασφάλειας, ειδικοί από το SSSCIP, την Υπηρεσία Ασφαλείας της Ουκρανίας και την Αστυνομία Κυβερνοχώρου εργάζονται από κοινού για την απομόνωση και τη διερεύνηση του περιστατικού στον κυβερνοχώρο» είπε η υπηρεσία άμυνας και ασφάλειας της Ουκρανίας στον κυβερνοχώρο SSSCIP.
Η SSSCIP πρόσθεσε ότι το περιστατικό δεν προκάλεσε «ουσιώδεις βλάβες ή διακοπές του συστήματος» που θα επηρέαζαν τη λειτουργία των ουκρανικών δημόσιων αρχών.
Πρόταση: Ρώσοι hackers στοχοποιούν την Ουκρανία με Follina exploits
Η Ember Bear, η ομάδα πίσω από το περιστατικό αυτής της εβδομάδας, είναι ενεργή τουλάχιστον από τον Μάρτιο του 2021 και επικεντρώνεται στη στόχευση ουκρανικών οντοτήτων με backdoor, κλέφτες πληροφοριών, και ψεύτικο ransomware που παραδίδεται κυρίως μέσω email phishing.
Ωστόσο, οι χειριστές του είναι επίσης ύποπτοι για επιθέσεις κατά οργανώσεων της Βόρειας Αμερικής και της Δυτικής Ευρώπης.
Η APT εντοπίστηκε να αυξάνει τις καμπάνιες phishing και τις προσπάθειες συμβιβασμού του δικτύου στην Ουκρανία ξεκινώντας τον Δεκέμβριο του 2021. Επίσης εντοπίστηκαν να στοχοποιούν Γεωργιανές κυβερνητικές υπηρεσίες με phising emails και οι επιθέσεις τους έχουν δείξει συντονισμό και ευθυγράμμιση με Ρωσικά κρατικά συμφέροντα.
Διαβάστε επίσης: Hackers στοχεύουν κυβερνητικές υπηρεσίες της Ουκρανίας με Zimbra exploits και το IcedID malware
Τον περασμένο μήνα, η CERT-UA αποκάλυψε μία άλλη κυβερνοεπίθεση που συνδέεται με τη ρωσική στρατιωτική ομάδα hacking Sandworm εναντίον του εθνικού πρακτορείου ειδήσεων της χώρας (Ukrinform) με κακόβουλο λογισμικό CaddyWiper, το οποίο διαγράφει δεδομένα , αλλά απέτυχε να επηρεάσει τις λειτουργίες του.Η ίδια ομάδα χρησιμοποίησε το CaddyWiper σε άλλη μια αποτυχημένη επίθεση τον Απρίλιο του 2022 ενάντια ενός μεγάλου ουκρανικού παρόχου ενέργειας.
Πηγή πληροφοριών: bleepingcomputer.com
