11 fournisseurs de télécommunications ukrainiens victimes de cyberattaques : est-ce grave ?
- , le 19 octobre 2023
- 1 h 33 min
Le Computer Emergency Response Team of Ukraine (CERT-UA) a révélé que des acteurs menaçants ont « interféré » avec au moins 11 fournisseurs de services de télécommunication dans le pays entre mai et septembre 2023.
L’agence suit l’activité sous le nom UAC-0165, déclarant que les intrusions ont conduit à des interruptions de service pour les clients.
Le point de départ des attaques est une phase de reconnaissance au cours de laquelle le réseau d’une entreprise de télécommunications est scanné afin d’identifier les interfaces RDP ou SSH exposées et les points d’entrée potentiels.
« Il convient de noter que les activités de reconnaissance et d’exploitation sont menées à partir de serveurs préalablement compromis situés, en particulier, dans le segment ukrainien de l’internet », a déclaré le CERT-UA. « Pour acheminer le trafic via ces nœuds, Dante, SOCKS5 et d’autres serveurs proxy sont utilisés.
Les attaques se distinguent par l’utilisation de deux programmes spécialisés, POEMGATE et POSEIDON, qui permettent de voler des informations d’identification et de prendre le contrôle à distance des hôtes infectés. Un utilitaire appelé WHITECAT est exécuté afin d’effacer les traces médico-légales. De plus, l’accès persistant non autorisé à l’infrastructure du fournisseur est réalisé à l’aide de comptes VPN ordinaires qui ne sont pas protégés par une authentification multifactorielle. Une intrusion réussie est suivie de tentatives de mise hors service des équipements de réseau et de serveur, en particulier des équipements Mikrotik, ainsi que des systèmes de stockage de données.
Cette évolution intervient alors que l’agence a déclaré avoir observé quatre vagues d’hameçonnage menées par une équipe de pirates qu’elle suit sous le nom de groupe UAC-0006 et utilisant le logiciel malveillant SmokeLoader au cours de la première semaine d’octobre 2023. « Des adresses électroniques légitimes compromises sont utilisées pour envoyer des courriels, et SmokeLoader est transmis aux PC de plusieurs manières », a déclaré le CERT-UA. L’intention des attaquants est de s’en prendre aux ordinateurs des comptables afin de voler des données d’authentification (login, mot de passe, clé/certificat) et/ou de modifier les détails des documents financiers dans les systèmes bancaires à distance afin d’envoyer des paiements non autorisés. »
Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.
