路透伦敦1月4日 -乌克兰网络间谍负责人告诉路透,俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统,发起了一次网络攻击,这应该成为对西方的“重大警告”。这次黑客攻击是自近两年前俄罗斯全面入侵以来最严重的一次黑客攻击,从12月12日起,乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。乌克兰安全局(SBU)网络安全部门负责人伊利亚·维提乌克(Illia Vitiuk)在接受采访时透露了有关此次黑客攻击的独家细节,他表示此次黑客攻击造成了“灾难性”破坏,旨在造成心理打击并收集情报。该负责人没有披露攻击者什么时间拿到控制权、为何选择在12月12日发起破坏性行动以及初始突破点(内鬼协助、钓鱼员工、漏洞利用)在哪里,称还在调查中。

前情回顾:在2023年12月12日上午其乌克兰子公司Kyivstar遭受大范围黑客攻击,导致技术故障,造成Kyivstar网络上的通信和互联网接入服务暂时不可用。与俄罗斯武装部队格鲁乌单位有联系的名为Solntsepek 的黑客组织此前声称对此次袭击负责。该组织声称,Kyivstar拥有的10,000台计算机、4,000多台服务器以及所有云存储和备份系统已在攻击中被擦除。

俄黑客2023年5月份即已渗透成功

路透社的独家报道中称,Vitiuk说:“这次袭击是一个重大信息,一个重大警告,不仅是对乌克兰,也是对整个西方世界来说,没有人实际上是不可触碰的。” 他指出Kyivstar是一家富有的私营公司,在网络安全方面投入了大量资金。

这次攻击摧毁了“几乎所有东西”,包括数千台虚拟服务器和个人电脑,并称这可能是“彻底摧毁电信运营商核心”的破坏性网络攻击的第一个例子。

他在12月27日接受Zoom采访时表示,在调查过程中,SBU发现黑客可能在3月份或更早时期试图侵入Kyivstar。

他说:“目前,我们可以肯定地说,它们至少从2023年5月起就已经在系统中了。” “我现在还不能说,从什么时候起他们就拥有了……完全访问权限:可能至少从11月份开始。”

他说,SBU评估称,黑客能够窃取个人信息、了解手机位置、拦截SMS消息,甚至可能利用他们获得的访问级别窃取 Telegram帐户。

Kyivsta 发言人表示,该公司正在与SBU密切合作调查此次攻击,并将采取一切必要措施消除未来风险,并补充道:“尚未披露任何个人和订户数据泄露的事实。”

Vitiuk表示,SBU帮助Kyivstar在几天内恢复了系统并击退了新的网络攻击。他说:“在重大故障发生后,出现了许多新的尝试,旨在对运营商造成更大的损害。”

Vitiuk表示,Kyivstar是乌克兰三大主要电信运营商中最大的一家,大约有110万乌克兰人生活在没有其他提供商的小城镇和村庄。

由于这次袭击,人们争先恐后地购买其他SIM卡,造成了大排长龙。他说,使用Kyivstar SIM卡上网的ATM机停止工作,导弹和无人机袭击期间使用的空袭警报器在某些地区也无法正常工作。

他表示,这次攻击对乌克兰军方没有太大影响,乌克兰军方不依赖电信运营商,并使用了他所说的“不同的算法和协议”。“谈到无人机探测,谈到导弹探测,幸运的是,不,这种情况并没有对我们产生强烈影响,”他说。

俄罗斯沙虫难逃干系

由于Kyivstar的基础设施遭到破坏,调查这次攻击变得更加困难。

维蒂克表示,他“非常确定”这是由俄罗斯军事情报网络战单位Sandworm实施的,该单位与乌克兰和其他地方的网络攻击有关。据了解,沙虫组织的武器库中拥有多个数据擦除器,并于2023年1月又添加了一个。研究人员当时表示,这种破坏性恶意软件被Eset命名为NikoWiper,它基于SDelete,这是Microsoft 的一个命令行实用程序,用于安全删除文件。

Vitiuk表示,一年前,Sandworm渗透到了一家乌克兰电信运营商,但被基辅发现,因为该SBU本身就在俄罗斯系统内。但他拒绝透露该公司的身份。之前的黑客攻击尚未被报道过。

俄罗斯国防部没有回应对维蒂克言论发表评论的书面请求。

维蒂克表示,这种行为模式表明电信运营商可能仍然是俄罗斯黑客的目标。他说,SBU去年挫败了超过4,500起针对乌克兰政府机构和关键基础设施的重大网络攻击。

SBU认为一个名为Solntsepyok的组织与Sandworm有关联,该组织表示对此次攻击负责。

俄黑客渗透的途径仍在调查中

Vitiuk表示,SBU调查人员仍在努力确定Kyivstar是如何被渗透的,或者可能使用什么类型的特洛伊木马恶意软件进行入侵,并补充说,这可能是网络钓鱼、有人在内部提供帮助或其他原因。

他说,如果这是内部工作,那么帮助黑客的内部人员在公司中并没有高级别的许可,因为黑客利用了用于窃取口令哈希的恶意软件。他补充说,该恶意软件的样本已被恢复并正在分析中。

Kyivstar首席执行官Oleksandr Komarov于12月20日表示,公司在全国范围内的所有服务已全面恢复。Vitiuk赞扬了SBU为安全恢复系统而做出的事件响应努力。

Vitiuk表示,由于Kyivsta 与俄罗斯移动运营商Beeline具有相似之处,后者采用类似的基础设施,因此对Kyivstar 的攻击可能会变得更容易。他补充说,Kyivstar基础设施的庞大规模在专家指导下会更容易被搞清楚。

Kyivstar的破坏开始于当地时间凌晨5:00左右,当时乌克兰总统弗拉基米尔·泽伦斯基正在华盛顿,敦促西方国家继续提供援助。

维蒂克表示,在人们通讯困难之际,这次袭击并未伴随大规模导弹和无人机袭击,这限制了其影响,同时也放弃了强大的情报收集工具。

他说,黑客选择12月12日的原因尚不清楚,并补充道:“也许某个上校想成为将军。”

为什么没能检测到初始突破?

My1Login首席执行官迈克·纽曼(Mike Newman)表示,Sandworm 发起攻击之前已在Kyivstar网络上存在了数月之久,这一消息引发了人们的重大疑问:为什么没有更早地发现攻击者。

“目前尚不清楚攻击最初是如何执行的,但如果犯罪者设法通过网络钓鱼获取员工的登录凭据,则该登录凭据可能是他们的网关。这可以解释为什么威胁检测工具没有检测到恶意活动,因为对手会被视为合法用户,”他指出。

Closed Door Security首席执行官威廉·赖特(William Wright)认为,该组织在Kyivstar网络内呆了六个多月,很可能已经访问了移动运营商的大部分数据,这些数据可用于针对该公司、其客户和乌克兰。

“可以说,这次对被视为关键国家基础设施的攻击将被用来在攻击者执行终止开关以摧毁基础设施之前收集尽可能多的信息。收集信息然后造成尽可能多的混乱的双管齐下的攻击让人想起2017年马士基的攻击,该攻击造成了约100亿美元的损失,”赖特警告说。

参考资源

1、https://www.reuters.com/world/europe/russian-hackers-were-inside-ukraine-telecoms-giant-months-cyber-spy-chief-2024-01-04/

2、https://www.infosecurity-magazine.com/news/ukraine-russian-sandworm-kyivstar/

3、https://www.darkreading.com/cyberattacks-data-breaches/russia-kyivstar-hack-should-alarm-west-ukraine-cyber-spy-warns

4、https://www.govinfosecurity.com/russian-sandworm-group-spied-on-kyivstar-networks-for-months-a-24027

声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。