Russische Hacker nutzen ihre Präsenz in den Netzwerken von Organisationen in Großbritannien, den USA und anderen Ländern, um Angriffe auf die Ukraine zu starten, wie ein neuer Bericht von Lupovis zeigt.
Das schottische Sicherheitsunternehmen hat eine Reihe von Lockvögeln im Internet aufgestellt, um russische Bedrohungsakteure anzulocken und ihre Taktiken, Techniken und Verfahren (TTPs) zu studieren.
Dazu gehörten gefälschte „Honeyfile“-Dokumente, die in Cybercrime-Foren geleakt und so gefälscht wurden, dass sie scheinbar wichtige Benutzernamen, Passwörter und andere Informationen enthielten.
Weitere Köder waren unsicher konfigurierte Webportale, die ukrainische politische und Regierungsseiten imitieren sollten, sowie „High-Interaction- und SSH-Dienste“. Letztere waren so konfiguriert, dass sie die gefälschten Anmeldedaten von den Webportalen akzeptierten.
Die Übung machte deutlich, wie gut vorbereitet und bereit russische Bedrohungsakteure sind, jeden Hinweis auf ukrainische Ziele aufzugreifen. Etwa 50-60 menschliche Akteure interagierten mit nur fünf Täuschungsmanövern, wobei viele von ihnen die Honeypots innerhalb von nur einer Minute nach deren Aktivierung erreichten.
Die getäuschten Hacker versuchten, eine Reihe von Angriffen auszuführen, die von der Erkundung der Köderinformationen über die Einbindung in DDoS-Botnetze bis hin zur Ausnutzung von SQL-Injection und anderen Fehlern reichten.
Noch schockierender war, was Lupovis anschließend herausfand.
„Das beunruhigendste Ergebnis unserer Studie ist, dass russische Cyber-Kriminelle die Netzwerke mehrerer globaler Organisationen kompromittiert haben, darunter ein Fortune-500-Unternehmen, mehr als 15 Organisationen des Gesundheitswesens und ein Damm-Überwachungssystem“, erklärte der Anbieter.
„Diese Organisationen hatten ihren Sitz in Großbritannien, Frankreich, den USA, Brasilien und Südafrika, und russische Kriminelle leiten ihre Netzwerke um, um Cyberangriffe auf die Ukraine zu starten, was effektiv bedeutet, dass sie diese Organisationen benutzen, um ihre schmutzige Arbeit auszuführen.“
Lupovis stellte die Hypothese auf, dass es sich bei den Bedrohungsakteuren eher um russische Cyberkriminelle als um staatliche Akteure handelt.
„Angesichts der Tatsache, dass unsere Untersuchungen zeigen, dass mehr als 15 Gesundheitseinrichtungen von russischen Kriminellen kompromittiert wurden, könnte dies darauf hindeuten, dass die Angreifer unbemerkt in ihren Netzwerken arbeiten und ihren Zugang nutzen, um Angriffe auf andere Einrichtungen zu starten“, argumentierte er.
„Sobald sie entdeckt werden, starten sie dann Ransomware-Angriffe auf die Systeme der Gesundheitseinrichtungen oder führen Datenverletzungen durch. Dies deutet darauf hin, dass die Angreifer alle Möglichkeiten ausschöpfen, um eine Organisation zu kompromittieren, bevor sie zu ihrem nächsten Opfer weiterziehen.“
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Erfolgreiche chinesische Hacker stahlen US COVID-Gelder