Κυβερνοεπίθεση από φιλο-Ουκρανούς χάκερ στο Dr.Web

Μια ομάδα φιλο-Ουκρανών χακτιβιστών ανέλαβε την ευθύνη για την παραβίαση του Σεπτεμβρίου της ρωσικής εταιρείας ασφαλείας Doctor Web (Dr.Web).

Η Dr.Web επιβεβαίωσε τον περασμένο μήνα ότι το δίκτυό της παραβιάστηκε στις 14 Σεπτεμβρίου, γεγονός που την ανάγκασε να αποσυνδέσει όλους τους εσωτερικούς διακομιστές και να σταματήσει να προωθεί ενημερώσεις βάσης δεδομένων ιών στους πελάτες κατά τη διερεύνηση του συμβάντος.

Σε μια ανάρτηση της Τρίτης στο Telegram, το DumpForums φιλο-Ουκρανοί hacktivists είπε ήταν πίσω από το hack και απέκτησαν πρόσβαση στα συστήματα ανάπτυξης του Dr.Web.

Φέρεται ότι είχαν πρόσβαση στο δίκτυο του Dr.Web για περίπου ένα μήνα, κάτι που τους επέτρεψε να κλέψουν περίπου δέκα terabytes δεδομένων, συμπεριλαμβανομένων των βάσεων δεδομένων πελατών, από το GitLab, το email, το Confluence και άλλους διακομιστές της εταιρείας.

«Καταφέραμε να χακάρουμε και να ξεφορτώσουμε τον εταιρικό διακομιστή GitLab όπου αποθηκεύονταν η εσωτερική ανάπτυξη και τα έργα, τον εταιρικό διακομιστή αλληλογραφίας, Confluence, Redmine, Jenkins, Mantis, RocketChat – συστήματα όπου διεξήχθη η ανάπτυξη και συζητήθηκαν οι εργασίες», δήλωσε ο DumpForums.

Η ομάδα έρευνας απειλών της ReliaQuest λέει ότι το DumpForums είναι ένας διαδικτυακός «κόμβος για τους χάκτιβ και πατριωτικούς φορείς απειλών στον κυβερνοχώρο» τουλάχιστον από τα τέλη Μαΐου 2022.

Οι προσπάθειές τους επικεντρώνονται στην υποστήριξη «της ουκρανικής πολεμικής προσπάθειας εναντίον της Ρωσίας» μέσω επιθέσεων DDoS και διαρροής πληροφοριών που έχουν κλαπεί από τη ρωσική κυβέρνηση και ιδιωτικούς φορείς.

Ο Dr.Web αρνείται τους ισχυρισμούς κλοπής δεδομένων

Σήμερα, ο Dr.Web δημοσίευσε μια δήλωση ως απάντηση στους ισχυρισμούς τους, επιβεβαιώνοντας και πάλι την παραβίαση του Σεπτεμβρίου, αλλά λέγοντας ότι η επίθεση “σταμάτησε αμέσως”.

Η ρωσική εταιρεία κατά του κακόβουλου λογισμικού πρόσθεσε ότι δεν θα πληρώσει λύτρα, την οποία είχαν ζητήσει από τότε οι εισβολείς, και αρνήθηκε ότι κλάπηκαν πληροφορίες πελατών κατά την επίθεση.

«Ο κύριος στόχος ήταν να απαιτήσουμε λύτρα από την εταιρεία μας, αλλά δεν διαπραγματευόμαστε με τους δράστες. ” είπε ο Dr.Web σε ανάρτηση στο Telegram την Τετάρτη.

“Οι πληροφορίες που δημοσιεύονται στο Telegram είναι ως επί το πλείστον αναληθείς, τα δεδομένα χρήστη δεν επηρεάστηκαν. Ούτε οι ενημερώσεις βάσης δεδομένων ιών ούτε οι ενημερώσεις λειτουργικών μονάδων αποτελούν απειλή για την ασφάλεια των χρηστών μας.”

Το Dr.Web δεν έχει απαντήσει ακόμη σε πολλά μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από το BleepingComputer για να ζητήσει περισσότερες πληροφορίες σχετικά με την παραβίαση και τους ισχυρισμούς του DumpForums.

Η Dr.Web είναι η πιο πρόσφατη ρωσική εταιρεία κυβερνοασφάλειας στοχευμένες και παραβιασμένες σε κυβερνοεπίθεση.

Τον Ιούνιοφιλο-Ουκρανοί χάκερ Cyber ​​Anarchy Squad παραβίασαν τη ρωσική εταιρεία ασφάλειας πληροφοριών Avanpost, ισχυριζόμενοι ότι διέρρευσαν 390 GB κλεμμένων δεδομένων πριν κρυπτογραφήσει πάνω από 400 εικονικές μηχανές.

Ένα χρόνο νωρίτερα, τον Ιούνιο του 2023, η Kaspersky αποκάλυψε επίσης ότι οι εισβολείς μόλυναν τα iPhone στο δίκτυό της με λογισμικό υποκλοπής μέσω iMessage μηδενικού κλικ, τα οποία στόχευαν σφάλματα μηδενικής ημέρας στο iOS ως μέρος μιας καμπάνιας που τώρα είναι γνωστή ως “Λειτουργία Τριγωνοποίησης”.