1月4日烏克蘭網絡間諜負責人稱,俄羅斯黑客至少從去年5月起就侵入了烏克蘭電信巨頭Kyivstar的系統,發起了一次網絡攻擊,這應該成為對西方的“重大警告”。這次黑客攻擊是自近兩年前俄羅斯全面入侵以來最嚴重的一次黑客攻擊,從12月12日起,烏克蘭最大的電信運營商為約2400萬用戶提供的服務中斷了數天。烏克蘭安全局(SBU)網絡安全部門負責人伊利亞·維提烏克(Illia Vitiuk)在接受采訪時透露了有關此次黑客攻擊的獨家細節,他表示此次黑客攻擊造成了“災難性”破壞,旨在造成心理打擊并收集情報。該負責人沒有披露攻擊者什么時間拿到控制權、為何選擇在12月12日發起破壞性行動以及初始突破點(內鬼協助、釣魚員工、漏洞利用)在哪里,稱還在調查中。
俄黑客2023年5月份即已滲透成功
Vitiuk說:“這次襲擊是一個重大信息,一個重大警告,不僅是對烏克蘭,也是對整個西方世界來說,沒有人實際上是不可觸碰的。” 他指出Kyivstar是一家富有的私營公司,在網絡安全方面投入了大量資金。
這次攻擊摧毀了“幾乎所有東西”,包括數千臺虛擬服務器和個人電腦,并稱這可能是“徹底摧毀電信運營商核心”的破壞性網絡攻擊的第一個例子。
他在12月27日接受采訪時表示,在調查過程中,SBU發現黑客可能在3月份或更早時期試圖侵入Kyivstar。
他說:“目前,我們可以肯定地說,它們至少從2023年5月起就已經在系統中了。” “我現在還不能說,從什么時候起他們就擁有了……完全訪問權限:可能至少從11月份開始。”
他說,SBU評估稱,黑客能夠竊取個人信息、了解手機位置、攔截SMS消息,甚至可能利用他們獲得的訪問級別竊取 Telegram帳戶。
Kyivsta 發言人表示,該公司正在與SBU密切合作調查此次攻擊,并將采取一切必要措施消除未來風險,并補充道:“尚未披露任何個人和訂戶數據泄露的事實。”
Vitiuk表示,SBU幫助Kyivstar在幾天內恢復了系統并擊退了新的網絡攻擊。他說:“在重大故障發生后,出現了許多新的嘗試,旨在對運營商造成更大的損害。”
Vitiuk表示,Kyivstar是烏克蘭三大主要電信運營商中最大的一家,大約有110萬烏克蘭人生活在沒有其他提供商的小城鎮和村莊。
由于這次襲擊,人們爭先恐后地購買其他SIM卡,造成了大排長龍。他說,使用Kyivstar SIM卡上網的ATM機停止工作,導彈和無人機襲擊期間使用的空襲警報器在某些地區也無法正常工作。
他表示,這次攻擊對烏克蘭軍方沒有太大影響,烏克蘭軍方不依賴電信運營商,并使用了他所說的“不同的算法和協議”。“談到無人機探測,談到導彈探測,幸運的是,不,這種情況并沒有對我們產生強烈影響,”他說。
俄羅斯沙蟲難逃干系
由于Kyivstar的基礎設施遭到破壞,調查這次攻擊變得更加困難。
維蒂克表示,他“非常確定”這是由俄羅斯軍事情報網絡戰單位Sandworm實施的,該單位與烏克蘭和其他地方的網絡攻擊有關。據了解,沙蟲組織的武器庫中擁有多個數據擦除器,并于2023年1月又添加了一個。研究人員當時表示,這種破壞性惡意軟件被Eset命名為NikoWiper,它基于SDelete,這是Microsoft 的一個命令行實用程序,用于安全刪除文件。
Vitiuk表示,一年前,Sandworm滲透到了一家烏克蘭電信運營商,但被基輔發現,因為該SBU本身就在俄羅斯系統內。但他拒絕透露該公司的身份。之前的黑客攻擊尚未被報道過。
俄羅斯國防部沒有回應對維蒂克言論發表評論的書面請求。
維蒂克表示,這種行為模式表明電信運營商可能仍然是俄羅斯黑客的目標。他說,SBU去年挫敗了超過4,500起針對烏克蘭政府機構和關鍵基礎設施的重大網絡攻擊。
SBU認為一個名為Solntsepyok的組織與Sandworm有關聯,該組織表示對此次攻擊負責。
俄黑客滲透的途徑仍在調查中
Vitiuk表示,SBU調查人員仍在努力確定Kyivstar是如何被滲透的,或者可能使用什么類型的特洛伊木馬惡意軟件進行入侵,并補充說,這可能是網絡釣魚、有人在內部提供幫助或其他原因。
他說,如果這是內部工作,那么幫助黑客的內部人員在公司中并沒有高級別的許可,因為黑客利用了用于竊取口令哈希的惡意軟件。他補充說,該惡意軟件的樣本已被恢復并正在分析中。
Kyivstar首席執行官Oleksandr Komarov于12月20日表示,公司在全國范圍內的所有服務已全面恢復。Vitiuk贊揚了SBU為安全恢復系統而做出的事件響應努力。
Vitiuk表示,由于Kyivsta 與俄羅斯移動運營商Beeline具有相似之處,后者采用類似的基礎設施,因此對Kyivstar 的攻擊可能會變得更容易。他補充說,Kyivstar基礎設施的龐大規模在專家指導下會更容易被搞清楚。
Kyivstar的破壞開始于當地時間凌晨5:00左右,當時烏克蘭總統弗拉基米爾·澤倫斯基正在華盛頓,敦促西方國家繼續提供援助。
維蒂克表示,在人們通訊困難之際,這次襲擊并未伴隨大規模導彈和無人機襲擊,這限制了其影響,同時也放棄了強大的情報收集工具。
他說,黑客選擇12月12日的原因尚不清楚,并補充道:“也許某個上校想成為將軍。”
為什么沒能檢測到初始突破?
My1Login首席執行官邁克·紐曼(Mike Newman)表示,Sandworm 發起攻擊之前已在Kyivstar網絡上存在了數月之久,這一消息引發了人們的重大疑問:為什么沒有更早地發現攻擊者。
“目前尚不清楚攻擊最初是如何執行的,但如果犯罪者設法通過網絡釣魚獲取員工的登錄憑據,則該登錄憑據可能是他們的網關。這可以解釋為什么威脅檢測工具沒有檢測到惡意活動,因為對手會被視為合法用戶,”他指出。
Closed Door Security首席執行官威廉·賴特(William Wright)認為,該組織在Kyivstar網絡內呆了六個多月,很可能已經訪問了移動運營商的大部分數據,這些數據可用于針對該公司、其客戶和烏克蘭。
“可以說,這次對被視為關鍵國家基礎設施的攻擊將被用來在攻擊者執行終止開關以摧毀基礎設施之前收集盡可能多的信息。收集信息然后造成盡可能多的混亂的雙管齊下的攻擊讓人想起2017年馬士基的攻擊,該攻擊造成了約100億美元的損失,”賴特警告說。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:互聯網
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照