L’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a révélé que des acteurs malveillants ont « interféré » avec au moins 11 fournisseurs de services de télécommunications dans le pays entre mai et septembre 2023.
L’agence suit l’activité sous le nom UAC-0165, précisant que les intrusions ont entraîné des interruptions de service pour les clients.
Le point de départ des attaques est une phase de reconnaissance au cours de laquelle le réseau d’une entreprise de télécommunications est analysé pour identifier les interfaces RDP ou SSH exposées et les points d’entrée potentiels.
« Il convient de noter que les activités de reconnaissance et d’exploitation sont menées à partir de serveurs précédemment compromis, situés notamment dans le segment ukrainien d’Internet », a déclaré CERT-UA. dit.
« Pour acheminer le trafic via ces nœuds, Dante, SOCKS5 et d’autres serveurs proxy sont utilisés. »
Les attaques se distinguent par l’utilisation de deux programmes spécialisés appelés POEMGATE et POSEIDON qui permettent le vol d’informations d’identification et le contrôle à distance des hôtes infectés. Afin d’effacer la trace médico-légale, un utilitaire nommé WHITECAT est exécuté.
De plus, un accès non autorisé persistant à l’infrastructure du fournisseur est obtenu à l’aide de comptes VPN classiques qui ne sont pas protégés par l’authentification multifacteur.
Une violation réussie est suivie de tentatives de désactivation des équipements réseau et serveurs, en particulier des équipements Mikrotik, ainsi que des systèmes de stockage de données.
Cette évolution intervient alors que l’agence a déclaré avoir observé quatre vagues de phishing menées par une équipe de piratage informatique qu’elle suit en tant que groupe UAC-0006 à l’aide du malware SmokeLoader au cours de la première semaine d’octobre 2023.
« Des adresses e-mail légitimes compromises sont utilisées pour envoyer des e-mails, et SmokeLoader est livré aux PC de plusieurs manières », CERT-UA dit.
« L’intention des attaquants est d’attaquer les ordinateurs des comptables afin de voler les données d’authentification (identifiant, mot de passe, clé/certificat) et/ou de modifier les détails des documents financiers dans les systèmes bancaires à distance afin d’envoyer des paiements non autorisés. »