2023 年 5 月至 9 月期间，俄罗斯黑客组织（被追踪为“Sandworm”）成功入侵了乌克兰的 11 家电信服务提供商。

这是基于乌克兰计算机紧急响应小组 (CERT-UA) 的一份新报告，引用了“公共资源”和从一些安全事件列表中检索到的信息。

该机构表示，俄罗斯黑客“干扰”了该国 11 家电信公司的通信系统，导致服务中断和潜在的数据泄露。

Sandworm 是一个非常活跃的间​谍威胁组织，与俄罗斯 GRU（武装部队）有联系。攻击者在 2023 年将重点放在乌克兰，使用 网络钓鱼诱饵、 Android 恶意软件和 数据擦除器。

针对电信公司

这些攻击首先是 Sandworm 使用“masscan”工具对电信公司的网络进行侦察，对目标网络进行扫描。

Masscan 脚本示例 (CERT-UA)

Sandworm 会寻找开放端口和未受保护的 RDP 或 SSH 接口，以利用它们来破坏网络。

此外，攻击者还使用“ffuf”、“dirbuster”、“gowitness”和“nmap”等工具来查找 Web 服务中的潜在漏洞，这些漏洞可用于获取访问权限。

不受多重身份验证保护的受损 VPN 帐户也被用来获取网络访问权限。

为了使他们的入侵更加隐蔽，Sandworm 使用“Dante”、“socks5”和其他代理服务器通过他们之前入侵的乌克兰互联网区域内的服务器来路由他们的恶意活动，从而使其显得不那么可疑。

CERT-UA 报告称， 在被入侵的 ISP 系统中发现了两个后门，即“Poemgate”和“Poseidon”。

Poemgate 捕获尝试在受感染端点中进行身份验证的管理员的凭据，为攻击者提供对其他帐户的访问权限，他们可用于横向移动或更深入的网络渗透。

Poseidon 是一个 Linux 后门，乌克兰机构称其“包括全套远程计算机控制工具”。Poseidon 的持久性是通过修改 Cron 添加恶意作业来实现的。

Cron 二进制修改以增加 Poseidon 的持久性 (CERT-UA)

Sandworm使用“Whitecat”工具消除攻击痕迹并删除访问日志。

在攻击的最后阶段，黑客部署了会导致服务中断的脚本，尤其是针对 Mikrotik 设备，并擦除备份以使恢复变得更加困难。

损害 Mikrotik 设备的脚本 (CERT-UA)

CERT-UA 建议国内所有服务提供商遵循安全指南（）中的建议 ，以提高网络入侵者入侵其系统的难度。

参考链接: