El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha revelado que los actores de amenazas «interfirieron» con al menos 11 proveedores de servicios de telecomunicaciones en el país entre mayo y septiembre de 2023.
La agencia está rastreando la actividad con el nombre UAC-0165, afirmando que las intrusiones provocaron interrupciones del servicio para los clientes.
El punto de partida de los ataques es una fase de reconocimiento en la que se escanea la red de una empresa de telecomunicaciones para identificar interfaces RDP o SSH expuestas y posibles puntos de entrada.
«Cabe señalar que las actividades de reconocimiento y explotación se llevan a cabo desde servidores previamente comprometidos ubicados, en particular, en el segmento ucraniano de Internet», CERT-UA dicho.
«Para enrutar el tráfico a través de dichos nodos, se utilizan Dante, SOCKS5 y otros servidores proxy».
Los ataques se caracterizan por el uso de dos programas especializados llamados POEMGATE y POSEIDON que permiten el robo de credenciales y el control remoto de los hosts infectados. Para borrar el rastro forense, se ejecuta una utilidad llamada WHITECAT.
Es más, el acceso no autorizado persistente a la infraestructura del proveedor se logra mediante cuentas VPN normales que no están protegidas mediante autenticación multifactor.
A una infracción exitosa le siguen intentos de desactivar los equipos de red y servidores, específicamente los equipos Mikrotik, así como los sistemas de almacenamiento de datos.
El desarrollo se produce cuando la agencia dijo que observó cuatro oleadas de phishing llevadas a cabo por un equipo de piratas informáticos al que rastrea como grupo UAC-0006 utilizando el malware SmokeLoader durante la primera semana de octubre de 2023.
«Se utilizan direcciones de correo electrónico legítimas comprometidas para enviar correos electrónicos, y SmokeLoader se entrega a las PC de varias maneras», CERT-UA dicho.
«La intención de los atacantes es atacar las computadoras de los contables para robar datos de autenticación (nombre de usuario, contraseña, clave/certificado) y/o cambiar los detalles de los documentos financieros en sistemas bancarios remotos para enviar pagos no autorizados».