Українські провайдери постраждали від дій групи хакерів

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, повідомила про низку атак, від яких постраждали українські провайдери. Представники установи провели аналіз ситуації.

• Сервіс Linktr.ee буде розблоковано

Деталі

Зокрема, відмічається, що від 11 травня до 29 вересня 2023 року організована група кіберзловмисників, що відстежується за ідентифікатором UAC-0165, втрутилася в інформаційно-комунікаційні системи не менше ніж 11 провайдерів. Через це в мережі сталися збої. Надання послуг споживачам було порушено.

Фахівці CERT-UA у співпраці зі спеціалістами одного з провайдерів докладно дослідили те, що сталося. Було виявлено, що першим етапом кібератаки була розвідка. Вона починалася з "грубого" сканування підмереж (автономної системи) провайдера за типовим набором мережевих портів із застосуванням, зокрема, masscan.

У випадку ідентифікації інтерфейсів управління (наприклад, SSH, RDP), за умови не обмеження доступу до останніх, ініціювався підбір автентифікаційних даних. У разі виявлення ознак вразливостей здійснювалася їхня експлуатація. Публічно доступні сервіси (вебдодатки), такі як білінг, особистий кабінет користувача, хостингові сервери (та вебсайти) тощо, аналізувалися за допомогою спеціалізованих програм, в тому числі: ffuf, dirbuster, gowitness, nmap тощо.

Було наголошено, що в умовах війни доступ до стабільного та захищеного зв’язку – серед найважливіших потреб українців. Тому провайдерам рекомендували переглянути власні поверхні атак, врахувати зазначені в дослідженні технічні деталі. У разі виявлення інцидентів інформаційної безпеки або їхніх ознак потрібно невідкладно звертатися до CERT-UA.

Раніше ми повідомляли, що на орбіту вивели супутники, що будуть конкурентами Starlink.