在2023年12月12日上午Kyivstar 遭受大范围黑客攻击,导致技术故障,造成Kyivstar网络上的通信和互联网接入服务暂时不可用。与俄罗斯武装部队格鲁乌单位有联系的名为Solntsepek 的黑客组织此前声称对此次袭击负责。该组织声称,Kyivstar拥有的10,000台计算机、4,000多台服务器上的所有云存储和备份系统已在攻击中被擦除。
这次黑客攻击是自近两年前俄乌开战以来最严重的一次黑客攻击,俄罗斯黑客至少从去年5月起就侵入了乌克兰电信巨头Kyivstar的系统。从12月12日起,乌克兰最大的电信运营商为约2400万用户提供的服务中断了数天。
乌克兰安全局(SBU)网络安全部门负责人Illia Vitiuk 在接受采访时透露了有关此次黑客攻击的独家细节,他表示此次黑客攻击造成了“灾难性”破坏,旨在造成心理打击并收集情报。该负责人称具体情况还在调查中,没有披露黑客什么时间拿到控制权、为何选择在12月12日发起破坏性行动以及初始突破点(内鬼协助、钓鱼员工、漏洞利用)在哪里。
Vitiuk还说:“这次袭击是一个重大信息,一个重大警告,不仅是对乌克兰,也是对整个西方世界来说,没有人实际上是不可触碰的。” 他指出Kyivstar是一家资金雄厚的私营公司,在网络安全方面投入了大量资金。
SBU评估称,黑客能够窃取个人信息、了解手机位置、拦截SMS消息,甚至可能利用他们获得的访问级别窃取 Telegram帐户。
由于这次袭击,人们争先恐后地购买其他SIM卡,造成了大排长龙。他说,使用Kyivstar SIM卡上网的ATM机停止工作,导弹和无人机袭击期间使用的空袭警报器在某些地区也无法正常工作。
Vitiuk 表示,这次攻击对乌克兰军方没有太大影响,乌克兰军方不依赖电信运营商,并使用了他所说的“不同的算法和协议”。“这种情况并没有对我们产生强烈影响,”他说。
俄罗斯沙虫难逃干系
由于Kyivstar的基础设施遭到破坏,调查这次攻击变得更加困难。
Vitiuk 表示,他“非常确定”这是由俄罗斯军事情报网络战单位Sandworm实施的,该单位与乌克兰和其他地方的网络攻击有关。据了解,沙虫组织的武器库中拥有多个数据擦除器,并于2023年1月又添加了一个。研究人员当时表示,这种破坏性恶意软件被Eset命名为NikoWiper,它基于SDelete,这是Microsoft 的一个命令行实用程序,用于安全删除文件。
Vitiuk表示,一年前,Sandworm渗透到了一家乌克兰电信运营商,但被基辅发现,因为该SBU本身就在俄罗斯系统内。但他拒绝透露该公司的身份。之前的黑客攻击尚未被报道过。
俄罗斯国防部没有回应对维蒂克言论发表评论的书面请求。
维蒂克表示,这种行为模式表明电信运营商可能仍然是俄罗斯黑客的目标。他说,SBU去年挫败了超过4,500起针对乌克兰政府机构和关键基础设施的重大网络攻击。
SBU认为一个名为Solntsepyok的组织与Sandworm有关联,该组织表示对此次攻击负责。
俄黑客渗透的途径仍在调查中
Vitiuk表示,SBU调查人员仍在努力确定Kyivstar是如何被渗透的,或者可能使用什么类型的特洛伊木马恶意软件进行入侵,并补充说,这可能是网络钓鱼、有人在内部提供帮助或其他原因。
他说,如果这是内部工作,那么帮助黑客的内部人员在公司中并没有高级别的许可,因为黑客利用了用于窃取口令哈希的恶意软件。他补充说,该恶意软件的样本已被恢复并正在分析中。
Kyivstar首席执行官Oleksandr Komarov于12月20日表示,公司在全国范围内的所有服务已全面恢复。Vitiuk赞扬了SBU为安全恢复系统而做出的事件响应努力。
Vitiuk表示,由于Kyivsta 与俄罗斯移动运营商Beeline具有相似之处,后者采用类似的基础设施,因此对Kyivstar 的攻击可能会变得更容易。他补充说,Kyivstar基础设施的庞大规模在专家指导下会更容易被搞清楚。
Kyivstar的破坏开始于当地时间凌晨5:00左右,当时乌克兰总统弗拉基米尔·泽伦斯基正在华盛顿,敦促西方国家继续提供援助。
维蒂克表示,在人们通讯困难之际,这次攻击并未伴随大规模导弹和无人机袭击,这限制了其影响。
他说,黑客选择12月12日的原因尚不清楚,并补充道:“也许某个上校想成为将军。”
为什么没能检测到初始攻击?
My1Login首席执行官迈克·纽曼(Mike Newman)表示,Sandworm 发起攻击之前已在Kyivstar网络上存在了数月之久,这一消息引发了人们的重大疑问:为什么没有更早地发现攻击者。
他指出:“目前尚不清楚攻击最初是如何执行的,但如果黑客设法通过网络钓鱼获取员工的登录凭据,则该登录凭据可能是他们的网关。这可以解释为什么威胁检测工具没有检测到恶意活动,因为对手会被视为合法用户”。
Closed Door Security首席执行官威廉·赖特(William Wright)认为,该组织在Kyivstar网络内呆了六个多月,很可能已经访问了移动运营商的大部分数据,这些数据可用于针对该公司、其客户和乌克兰。
“可以说,这次对关键国家基础设施的攻击将被黑客用来摧毁基础设施,并在这之前收集尽可能多的信息。这让人想起2017年马士基的攻击,该攻击造成了约100亿美元的损失,”赖特警告说。
转自安全内参,原文链接:https://www.secrss.com/articles/62502
封面来源于网络,如有侵权请联系删除