Про це повідомляє група реагування на комп’ютерні надзвичайні ситуації України CERT-UA.
Фахівці з групи реагування на комп’ютерні надзвичайні ситуації України CERT-UA виявили, що з травня по вересень 2023 року група зловмисників, відстежувана за ідентифікатором UAC-0165, втрутилися в інформаційно-комунікаційні системи (ІКС) щонайменше 11 вітчизняних телекомунікаційних провайдерів. Це втручання, зокрема, призвело до перебоїв у наданні послуг споживачам.
Початковою точкою атак є фаза розвідки, під час якої мережа телекомунікаційної компанії сканується для виявлення відкритих інтерфейсів RDP або SSH і потенційних точок входу.
Розвідувально-експлуатаційні дії проводяться з раніше скомпрометованих серверів, розташованих, зокрема, в українському сегменті Інтернету. Для маршрутизації трафіку через такі вузли використовуються Dante, SOCKS5 та інші проксі-сервери.
Фахівці CERT-UA
Ці атаки вирізняються використанням спеціалізованих програм POEMGATE і POSEIDON; за їхньою допомогою хакери викрадають облікові дані і можуть дистанційно керувати зараженими хостами. Утиліта WHITECAT допомагає стерти кримінальний слід. Примітно також, що постійний несанкціонований доступ до ІКС провайдера досягається за допомогою звичайних облікових записів VPN, не захищених багатофакторною автентифікацією. Успішний злам супроводжується спробами виведення з ладу мережевого та серверного обладнання, зокрема обладнання Mikrotik, а також систем зберігання даних.
CERT-UA закликає українських провайдерів бути пильними і у разі виявлення ознак кіберінцидентів звертатися до фахівців по допомогу в реагуванні. Досліджені належним чином кіберзагрози зменшують шанси зловмисників на повторну реалізацію тих самих сценаріїв.
