Cercetătorii Resecurity (SUA) au descoperit date furate de la şase ministere de externe și opt companii energetice; printre acestea se găseşte şi Institutul de Cercetări Nucleare de la Pitești

La sfârșitul anului trecut, cercetătorii companiei de securitate cibernetică Resecurity din Los Angeles au descoperit o serie masivă de date furate, în timp ce investigau hack-ul unui retailer italian, scrie Bloomberg.

Pe o platformă de stocare în cloud s-au găsit cinci gigaocteți de date care fuseseră furate în ultimii trei ani și jumătate de la ministere de externe și companii energetice prin pirateria serverelor Microsoft Exchange locale. În total, cercetătorii Resecurity au găsit documente și e-mailuri de la șase ministere de externe și opt companii energetice din Orientul Mijlociu, Asia și Europa de Est.

Atacurile, care nu au fost raportate anterior, au servit ca un preambul la un atac similar, larg mediatizat, al serverelor Microsoft Exchange din ianuarie până în martie a acestui an, potrivit Resecurity. O persoană familiarizată cu ancheta asupra atacului din 2021, care nu a fost autorizată să vorbească public și a solicitat anonimatul, a făcut o acuzație similară, spunând că furtul de date descoperit de Resecurity a urmat aceleași metode. Atacul cibernetic din 2021 a fost extraordinar prin amploarea sa, infectând până la 60.000 de victime globale cu malware.

Potrivit Bloomberg, Microsoft a pus rapid atacul cibernetic din 2021 pe seama unui grup de hackeri chinezi sponsorizați de stat, pe care i-a numit Hafnium, iar SUA, Marea Britanie și aliații lor au susținut ceva similar luna trecută, atribuind atacul unor hackeri afiliați guvernului chinez.

Resecurity nu poate spune cu certitudine că atacurile au fost comise de același grup. Chiar și așa, memoria cache a documentelor conținea informații care ar fi fost de interes pentru guvernul chinez, potrivit Gene Yoo, directorul executiv al Resecurity. Persoana în cauză a spus că victimele selectate de hackeri și tipul de informații adunate de atacatori au indicat, de asemenea, o operațiune chineză.

Cercetătorii de la alte firme de securitate cibernetică, care au solicitat anonimatul pentru că nu au analizat toate constatările Resecurity, au avertizat că atacurile ar fi putut fi comise de un număr de națiuni interesate de diplomația din Orientul Mijlociu și de comunicările interne ale unor companii energetice influente.

Bloomberg scrie că, oricum, ambele campanii de hacking subliniază modul în care vulnerabilităţile din popularele servere de e-mail locale Microsoft – care sunt controlate de clienții care utilizează aceste sisteme – au acționat de ani de zile ca o cheie pentru ca hackerii să deblocheze date sensibile de la companii guvernamentale și private.

Guvernul chinez a respins acuzațiile potrivit cărora hackerii săi sponsorizați de stat ar fi fost implicați în oricare dintre aceste atacuri. „China se opune cu hotărâre oricărei forme de atac sau infiltrare online. Aceasta este poziția noastră clară și consecventă ”, a spus Ministerul Afacerilor Externe, într-o declarație trimisă, precizând: „Legile chineze relevante privind colectarea și manipularea datelor protejează în mod clar securitatea datelor și se opun puternic atacurilor cibernetice și altor activități infracționale.”

În plus, Ministerul a declarat că este o „problemă tehnologică complexă” pentru a determina sursa atacurilor, adăugând că speră că mass-media va evita „speculațiile nefondate” și se va baza pe „dovezi cuprinzătoare atunci când se determină natura evenimentelor cibernetice”. China a propus deja un standard global de securitate a datelor și îndeamnă „toate părțile să colaboreze cu noi pentru a proteja cu adevărat securitatea globală a datelor”, conform declarației Ministerului.

Purtătorul de cuvânt al Microsoft Corp., Jeff Jones, a declarat că „mulți actori statali” vizează sistemele de e-mail pentru a obține informații confidențiale și că echipele de securitate ale Microsoft „lucrează constant cu partenerii noștri de securitate” pentru a identifica noi vulnerabilități care ar putea fi utilizate în atacuri viitoare.

Microsoft a urmărit Hafnium, grupul pe care l-a acuzat de atacul din 2021, încă din aprilie 2020, inclusiv colectarea de date despre operațiunile sale de spionaj cibernetic, a spus Jones. Unitatea Microsoft de informații privind amenințările a urmărit de atunci mai multe campanii ale Hafnium și a notificat țările care au fost victime ale atacurilor, potrivit lui Jones, care nu a nominalizat țările. Scopul lui Hafnium este spionajul, cu accent pe furtul de date, a spus el.

Într-o serie de atacuri care se întind din 2017 până în 2020, hackerii au sustras documente și e-mailuri de la ministerele de externe din Bahrain, Irak, Turcia, Oman, Egipt și Iordania – și e-mailuri și date de la opt companii energetice, inclusiv gigantul malaysian Petronas Nasional Bhd și India Hindustan Petroleum Corp., potrivit Resecurity și unei analize a datelor furate, făcută de Bloomberg News.

Unele e-mail-uri și documente par să conțină informații sensibile: telegrame diplomatice, date critice de rețea, inclusiv nume de utilizatori și parole și date de consumator privat.

De exemplu, o notă a unui atașat din Bahrain descria o întâlnire din 9 decembrie 2018, în care principalii diplomați în Asia ai țării s-au întâlnit cu omologii chinezi, într-un moment în care China se confrunta cu o posibilă sesiune specială a Consiliului pentru Drepturile Omului a Organizației Națiunilor Unite pentru a analiza tratamentul aplicat uigurilor musulmani. În cadrul ședinței, chinezul Lin Jiming a reamintit că, mai devreme cu doi ani, țara sa a apărat situația drepturilor omului în Bahrain, în timpul unei analize oficiale a ONU, conform memorandumului, care a fost transmis ministrului de Externe al Bahrainului și Direcției pentru drepturile omului, împreună cu o recomandare pentru a susține poziția Chinei.

Bahrain a fost printre cele 37 de țări care au semnat o scrisoare la jumătatea anului 2019, susținând politicile Chinei în regiunea de vest a Xinjiang. Sesiunea specială nu a avut loc niciodată.

Există, de asemenea, documente cu detalii zilnice, cum ar fi anunțurile interne despre schimbările de personal, rezumate de știri, o cerere de autograf pentru un ministru de externe și invitații la conferințe diplomatice, conform Resecurity și documentelor analizate de Bloomberg.

Oficialii din Bahrain nu au răspuns la o solicitare de comentarii. Oficialii din Irak au confirmat că guvernul a fost ținta atacurilor cibernetice, dar au spus că nu au provocat daune. Reprezentanții din Turcia, Oman, Egipt și Iordania nu au răspuns la solicitările de comentarii. HPCL nu a răspuns.

Atacatorii au compromis, de asemenea, o serie de companii energetice, de utilități și facilități de cercetare administrate de stat, care acoperă regiuni care se întind din Europa de Est până în Asia de Sud-Est, potrivit Resecurity. Împreună cu datele administrative sensibile și proprietatea intelectuală, cercetătorii Resecurity au găsit, de asemenea, liste de utilizatori, permisiuni interne ale rețelei și detalii despre parolă, toate acestea putând fi folosite de hackeri pentru a-și extinde amprenta în rețelele victimelor, potrivit cercetătorilor Resecurity și documentelor.

În cadrul serverelor Petronas, hackerii au găsit liste de nume de utilizator și parole, conform Resecurity și documentele din cadrul Hindustan Petroleum, au găsit mii de înregistrări ale utilizatorilor și e-mailuri ale angajaților, conform cercetătorilor și documentelor.

Alte victime sunt Doosan Fuel Cell Co. din Coreea; Institutul Român de Cercetări Nucleare din Pitești; Compania petrolieră de stat din Republica Azerbaidjan, cunoscută sub numele de SOCAR; Sharjah National Lube Oil Corp. din Emiratele Arabe Unite și Jordan’s Electric Distribution Company și National Electric Power Company, conform Resecurity.

Ca răspuns la o întrebare Bloomberg, Doosan a declarat că serverul său Exchange a fost atacat, dar că hackerii au fost împiedicaţi să fure orice date. Petronas nu a răspuns la întrebări specifice despre presupusul atac, dar a furnizat o declarație despre „strategia lor solidă și cuprinzătoare de securitate cibernetică”.

Celelalte companii și unitatea de cercetare nucleară din România nu au răspuns la solicitările de comentarii, potrivit Bloomberg.

Atacul din 2021 s-a produs după ce hackerii au descoperit o serie de vulnerabilități necunoscute anterior – numite zero days – în sistemul de e-mail Microsoft Exchange și apoi le-au folosit pentru a exploata zeci de mii de victime la nivel global. Deși extinderea atacului a fost fără precedent, relativ puțini dintre clienții ai Exchange care au fost infectați cu programe malware au fost apoi vizați pentru atacuri mai invazive, cum ar fi furtul de date sau ransomware, a precizat Microsoft într-un blog.

Nu este clar modul în care hackerii din spatele atacurilor anterioare asupra ministerelor de externe și companiilor energetice s-au infiltrat inițial în rețele.

Dar după compromisul inițial, ambele atacuri au fost aproape identice. Hackerii au instalat shell-uri web pe rețelele victimelor, care le-au permis accesul de la distanță la pagina de autentificare internă pentru fiecare server. Atacatorii au folosit apoi un software open-source numit Mimikatz (și o versiune modificată a lui Mimikatz) pentru a fura parole și a stabili o conexiune în interiorul rețelei.

Astfel de metode nu sunt deosebit de unice. În schimb, astfel de metode de atac generice permit hackerilor să-și ascundă urmele și au devenit o semnătură pentru grupurile guvernamentale de hacking, inclusiv unele afiliate guvernului chinez, a declarat Ben Read, directorul analizei ciberspionajului la firma de securitate cibernetică Mandiant.

Compania de cercetare în domeniul securității Cybereason Inc. și-a publicat săptămâna aceasta propriile acuzații cu privire la hackerii chinezi. Compania a susținut că cel puțin cinci giganți ai telecomunicațiilor au fost vizați de hackerii chinezi sponsorizați de stat, într-o operațiune care datează din 2017. Grupurile de hacking au furat înregistrări telefonice și date de geolocalizare prin exploatarea sistemelor, inclusiv a serverelor Microsoftt Exchange, potrivit unui raport publicat pe 3 august. Ministerul chinez de Externe a declarat că raportul „exacerbează zvonuri politice” create de SUA și de aliații lor și „sunt fabricate din nimic”.

Articole recente

Cadourile de Crăciun – între tradiție și fiscalitate (EY)

Autori:  Simona Tudor, HR & Payroll Manager, Global Compliance and Reporting, EY România; Stela Andrei, Partener Asociat,…

6 minute ago

XTB: Bitcoin, încă în zona vulnerabilă, nu convinge decât dacă revine spre 60.000 la finele anului

Claudiu Cazacu, Consulting Strategist în cadrul XTB, brokerul de burse internaționale listat pe Bursa de…

14 minute ago

Cum susține sectorul digital o tranziție sustenabilă a României?

Viitorul verde al Uniunii Europene după pandemia COVID-19 Pandemia COVID-19 a determinat schimbări imediate și…

31 de minute ago

Ionuţ Stroe: Premierul ne-a asigurat că Legea bugetului de stat va fi trimisă în Parlament până la 20 decembrie

Purtătorul de cuvânt al PNL, Ionuţ Stroe, a declarat luni că premierul Nicolae Ciucă a…

3 ore ago

OCDE: procedura amiabilă pentru soluționarea disputelor fiscale, slab utilizată în România (Deloitte)

Autori: Ciprian Gavriliu, Partener, și Corina Augustin, Consultant Senior, Prețuri de Transfer, Deloitte România Companiile…

3 ore ago

AROBS Transilvania Software a debutat la Bursă în urma celui mai mare plasament privat din istoria pieței AeRO

AROBS Transilvania Software, companie românească de IT, a debutat pe piața AeRO a Bursei de…

3 ore ago