Cum reușesc hackerii ruși să se ascundă. Sistemul ingenios folosit de aceștia pentru a nu fi detectați

Oana Pavelescu |
Data publicării:
Sistemul este pe atât de simplu pe cât de dificil de combătut
Sistemul este pe atât de simplu pe cât de dificil de combătut

Atunci când o echipă de elită de hackeri guvernamentali ruși a încercat să pătrundă în sute de obiective de informații în acest an, aceștia au folosit un instrument inteligent pentru a-și acoperi urmele: rețelele de calculatoare mobile și casnice ale unor americani neștiutori, potrivit mai multor experți în securitate cibernetică.

Hackerii, despre care se crede că lucrau pentru Serviciul de Informații Externe al Rusiei, au folosit ceea ce se numește "proxy IP rezidențial" pentru a obține acces și a evita detectarea, au declarat experții, scrie Bloomberg.

Într-o campanie dezvăluită de Microsoft Corp. luni, compania a precizat că a notificat "609 clienți că au fost atacați de 22.868 de ori" de către hackeri începând din luna mai, cu o rată de succes de o singură cifră. Microsoft a numit grupul de hackeri ruși "Nobelium". Același grup a fost, de asemenea, acuzat că se află în spatele atacului SolarWinds Corp. care a fost dezvăluit în decembrie anul trecut.

Țintele principale ale campaniei, despre care se crede că este în curs de desfășurare, sunt "organizațiile guvernamentale și alte organizații care se ocupă de chestiuni de interes pentru Rusia", a declarat Charles Carmakal, vicepreședinte senior al firmei de securitate cibernetică Mandiant Inc. care a lucrat cu Microsoft pentru a identifica presupusele atacuri rusești. Carmakal a declarat că hackerii au folosit proxy IP rezidențiali, care sunt adrese IP asociate cu o anumită locație care pot fi cumpărate pe internet. 

Printre victimele vizate se numără agenții guvernamentale americane, organizații neguvernamentale și firme de securitate informatică, potrivit unei alte persoane familiarizate cu atacurile, care a solicitat anonimatul pentru a discuta chestiuni confidențiale.

Ca și în cazul breșei de la SolarWinds, hackerii ruși au vizat entități "parte integrantă a lanțului global de aprovizionare IT", potrivit Microsoft. Și au folosit o cale ocolitoare pentru a încerca să pătrundă în rețeaua victimelor lor finale.

În cazul atacului împotriva SolarWinds, care furnizează software de monitorizare IT și instrumente de gestionare, atacatorii au plasat programe malware în actualizările unui produs software popular. Prin actualizarea software-ului, clienții SolarWinds au instalat din greșeală un backdoor digital pe care îl puteau folosi ulterior pentru alte infiltrări. În cele din urmă, aproximativ 100 de companii și nouă agenții americane au fost violate în alte atacuri.

În atacurile cibernetice mai recente, hackerii s-au concentrat asupra companiilor care furnizau servicii tehnologice țintelor finale, potrivit Microsoft. În acest fel, este posibil ca aceștia să fi încercat să găsească o verigă mai slabă și poate să ocolească controalele de securitate ale victimei vizate. Într-un exemplu detaliat de Microsoft, aceștia au compromis patru furnizori diferiți înainte de a pătrunde în ținta lor. Furnizorii de servicii tehnologice au fost atacați printr-o varietate de mijloace, inclusiv malware, spearphishing și prin încercarea de a ghici parolele.

China joacă murdar. De unde recrutează hackerii-spioni

Prin utilizarea de proxy-uri IP rezidențiale, eforturile hackerilor de a pătrunde într-o rețea ar părea mai puțin suspecte, provenind de la telefoane mobile sau rețele de internet de acasă din SUA, spre deosebire de calculatoare din Rusia. Din exterior, ceea ce ar putea fi un atac al unui hacker rus ar putea părea un angajat care se străduiește să se conecteze de pe telefonul mobil.

"Proxies rezidențiali permit cuiva să își spele traficul de internet prin intermediul unui utilizator casnic nesuspect, pentru a face să pară că traficul provine de la un client rezidențial de bandă largă din SUA, în loc să provină de undeva din Europa de Est, de exemplu", a declarat Doug Madory, director de analiză de internet, la firma de securitate cibernetică Kentik Inc.

Miliarde de parole sparte. Anunțul a fost făcut de Google. Verifică-ți telefonul

Hackerii au folosit serviciile a cel puțin doi furnizori de proxy IP rezidențial, potrivit lui Carmakal, care a refuzat să îi identifice. 

Hackerii au reușit să își desfășoare campania timp de luni de zile, evitând în același timp să fie detectați, a spus Carmakal. "Aceștia folosesc grupuri gigantice de adrese IP locale pentru a ghici parolele. Așa că nu încearcă adesea să se conecteze de mai multe ori la același cont prin intermediul aceleiași adrese IP". 

Marc Rogers, vicepreședinte al strategiei de securitate cibernetică la Okta Inc. a declarat: "Proxies rezidențiali sunt acum alegerea preferată a unei game largi de infractori cibernetici".

"Acum sunt folosite pentru o mulțime de lucruri, deoarece poți părea un utilizator rezidențial nevinovat din Georgia", a spus el.

Gene Yoo, directorul executiv al firmei de securitate cibernetică Resecurity, a declarat că furnizorii de proxy rezidențiali au fost folosiți de Nobelium și de alte grupuri de hackeri pentru a ocoli controalele de securitate. El a identificat Bright Data, Oxylabs, IP Burger ca fiind furnizori de proxy folosiți de Nobelium și de alte grupuri de hackeri pentru a ocoli controalele de securitate. Yoo a declarat că firma sa urmărește aceste companii deoarece sunt adesea folosite de organizațiile de hacking.

O altă persoană familiarizată cu tacticile Nobelium a confirmat că Nobelium a folosit cei trei furnizori de proxy numiți de Yoo.

Bright Data, care are sediul în Israel, a declarat într-o declarație că nu a găsit niciun indiciu că rețelele sale au fost folosite de Nobelium. Într-un interviu, directorul executiv al Bright Data, Or Lenchner, a declarat că societatea efectuează o verificare riguroasă a conformității și a clienților săi.

Google News icon  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.

Articole Recomandate

Get it on App Store Get it on Google Play
DC Media Group Audience

Calculator schimb valutar

EUR
Azi 4.9715
Diferența 0.0008
Zi precendentă 4.9707
USD
Azi 4.5614
Diferența -0.0031
Zi precendentă 4.5645
Schimb
in
Curs valutar | Actualizat la 19-03-2024
EUR flag1 EUR = 4.9715 RON
USD flag1 USD = 4.5614 RON
GBP flag1 GBP = 5.8088 RON
CHF flag1 CHF = 5.1628 RON
AUD flag1 AUD = 2.9953 RON
DKK flag1 DKK = 0.6666 RON
CAD flag1 CAD = 3.3679 RON
HUF flag1 HUF = 0.0126 RON
JPY flag1 JPY = 0.0306 RON
NOK flag1 NOK = 0.4309 RON
SEK flag1 SEK = 0.4392 RON
XAU flag1 XAU = 316.4037 RON
Monede Crypto
1 BTC = 287831.09RON
1 ETH = 14696.01RON
1 LTC = 357.16RON
1 XRP = 2.66RON
Indicatori financiari
IRCC:
3 luni: 5.97% p.a.
ROBOR:
3 luni: 6.07%
6 luni: 6.09%
12 luni: 6.10%
EURIBOR:
3 luni: -0.4770 %
6 luni: -0.3880 %
12 luni: -0.1270 %
Indici bursieri | Sursa: BVB
Indice Ultima valoare Variatie
BET 16362.25 0.09%
BET-BK 3020.08 0.07%
BET-FI 59305.92 -0.48%
BET-NG 1175.93 0.07%
BET-TR 33949.73 0.09%
BET-TRN 33167.22 0.09%
BET-XT 1399.76 0.04%
BET-XT-TR 2871.72 0.04%
BET-XT-TRN 2810.25 0.04%
BETAeRO 1090.11 0.26%
BETPlus 2420.39 0.10%
RTL 35888.47 0.11%

POLITICA DE CONFIDENȚIALITATE | POLITICA COOKIES |

Copyright 2024 - Toate drepturile rezervate.
Informațiile BVB sunt destinate exclusiv pentru folosința individuală a utilizatorului final și nu pentru a fi redistribuite, revândute sau folosite în scop comercial.
cloudnxt2
YesMy - smt4.3.1
pixel