Cum reușesc hackerii ruși să se ascundă. Sistemul ingenios folosit de aceștia pentru a nu fi detectați

Hackerii, despre care se crede că lucrau pentru Serviciul de Informații Externe al Rusiei, au folosit ceea ce se numește "proxy IP rezidențial" pentru a obține acces și a evita detectarea, au declarat experții, scrie Bloomberg.

Într-o campanie dezvăluită de Microsoft Corp. luni, compania a precizat că a notificat "609 clienți că au fost atacați de 22.868 de ori" de către hackeri începând din luna mai, cu o rată de succes de o singură cifră. Microsoft a numit grupul de hackeri ruși "Nobelium". Același grup a fost, de asemenea, acuzat că se află în spatele atacului SolarWinds Corp. care a fost dezvăluit în decembrie anul trecut.

Țintele principale ale campaniei, despre care se crede că este în curs de desfășurare, sunt "organizațiile guvernamentale și alte organizații care se ocupă de chestiuni de interes pentru Rusia", a declarat Charles Carmakal, vicepreședinte senior al firmei de securitate cibernetică Mandiant Inc. care a lucrat cu Microsoft pentru a identifica presupusele atacuri rusești. Carmakal a declarat că hackerii au folosit proxy IP rezidențiali, care sunt adrese IP asociate cu o anumită locație care pot fi cumpărate pe internet. 

Printre victimele vizate se numără agenții guvernamentale americane, organizații neguvernamentale și firme de securitate informatică, potrivit unei alte persoane familiarizate cu atacurile, care a solicitat anonimatul pentru a discuta chestiuni confidențiale.

Ca și în cazul breșei de la SolarWinds, hackerii ruși au vizat entități "parte integrantă a lanțului global de aprovizionare IT", potrivit Microsoft. Și au folosit o cale ocolitoare pentru a încerca să pătrundă în rețeaua victimelor lor finale.

În cazul atacului împotriva SolarWinds, care furnizează software de monitorizare IT și instrumente de gestionare, atacatorii au plasat programe malware în actualizările unui produs software popular. Prin actualizarea software-ului, clienții SolarWinds au instalat din greșeală un backdoor digital pe care îl puteau folosi ulterior pentru alte infiltrări. În cele din urmă, aproximativ 100 de companii și nouă agenții americane au fost violate în alte atacuri.

În atacurile cibernetice mai recente, hackerii s-au concentrat asupra companiilor care furnizau servicii tehnologice țintelor finale, potrivit Microsoft. În acest fel, este posibil ca aceștia să fi încercat să găsească o verigă mai slabă și poate să ocolească controalele de securitate ale victimei vizate. Într-un exemplu detaliat de Microsoft, aceștia au compromis patru furnizori diferiți înainte de a pătrunde în ținta lor. Furnizorii de servicii tehnologice au fost atacați printr-o varietate de mijloace, inclusiv malware, spearphishing și prin încercarea de a ghici parolele.

China joacă murdar. De unde recrutează hackerii-spioni

Prin utilizarea de proxy-uri IP rezidențiale, eforturile hackerilor de a pătrunde într-o rețea ar părea mai puțin suspecte, provenind de la telefoane mobile sau rețele de internet de acasă din SUA, spre deosebire de calculatoare din Rusia. Din exterior, ceea ce ar putea fi un atac al unui hacker rus ar putea părea un angajat care se străduiește să se conecteze de pe telefonul mobil.

"Proxies rezidențiali permit cuiva să își spele traficul de internet prin intermediul unui utilizator casnic nesuspect, pentru a face să pară că traficul provine de la un client rezidențial de bandă largă din SUA, în loc să provină de undeva din Europa de Est, de exemplu", a declarat Doug Madory, director de analiză de internet, la firma de securitate cibernetică Kentik Inc.

Miliarde de parole sparte. Anunțul a fost făcut de Google. Verifică-ți telefonul

Hackerii au folosit serviciile a cel puțin doi furnizori de proxy IP rezidențial, potrivit lui Carmakal, care a refuzat să îi identifice. 

Hackerii au reușit să își desfășoare campania timp de luni de zile, evitând în același timp să fie detectați, a spus Carmakal. "Aceștia folosesc grupuri gigantice de adrese IP locale pentru a ghici parolele. Așa că nu încearcă adesea să se conecteze de mai multe ori la același cont prin intermediul aceleiași adrese IP". 

Marc Rogers, vicepreședinte al strategiei de securitate cibernetică la Okta Inc. a declarat: "Proxies rezidențiali sunt acum alegerea preferată a unei game largi de infractori cibernetici".

"Acum sunt folosite pentru o mulțime de lucruri, deoarece poți părea un utilizator rezidențial nevinovat din Georgia", a spus el.

Gene Yoo, directorul executiv al firmei de securitate cibernetică Resecurity, a declarat că furnizorii de proxy rezidențiali au fost folosiți de Nobelium și de alte grupuri de hackeri pentru a ocoli controalele de securitate. El a identificat Bright Data, Oxylabs, IP Burger ca fiind furnizori de proxy folosiți de Nobelium și de alte grupuri de hackeri pentru a ocoli controalele de securitate. Yoo a declarat că firma sa urmărește aceste companii deoarece sunt adesea folosite de organizațiile de hacking.

O altă persoană familiarizată cu tacticile Nobelium a confirmat că Nobelium a folosit cei trei furnizori de proxy numiți de Yoo.

Bright Data, care are sediul în Israel, a declarat într-o declarație că nu a găsit niciun indiciu că rețelele sale au fost folosite de Nobelium. Într-un interviu, directorul executiv al Bright Data, Or Lenchner, a declarat că societatea efectuează o verificare riguroasă a conformității și a clienților săi.

  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.