El grupo de hackers Anonymous y otros atacan datos rusos
Los investigadores descubrieron que las bases de datos rusas eran atacadas eliminando archivos y cambiando el nombre de carpetas con información proucraniana.
Junto con el equipo de investigación de WebsitePlanet, analizamos en profundidad los ciberataques llevados a cabo por el conocido grupo Anonymous contra sitios web, tecnología y activos de red rusos. El mismo día del ataque no provocado de Rusia a Ucrania, una cuenta de Twitter asociada con el colectivo de hackers "Anonymous" llamó a hackers de todo el mundo a atacar a Rusia, y parece que los hackers están respondiendo al llamado. Para que conste, soy un ciudadano estadounidense que ha vivido y trabajado en Ucrania durante casi diez años. En la madrugada del 24 de febrero, Rusia comenzó a invadir Ucrania. Empaqué algunas pertenencias, computadora, disco duro y efectos personales y huí de la ciudad de Kiev lo más rápido posible. A las 7 de la mañana, las colas que conducían a las gasolineras llevaban horas esperando y las carreteras principales estaban prácticamente bloqueadas. Sólo en los primeros tres días, más de 115.000 ucranianos cruzaron la frontera polaca y tardaron cuatro días en llegar.
Ahora estacionado temporalmente en Cracovia, Polonia, y nuevamente en línea, comencé a buscar qué actividad estaba ocurriendo en línea y qué información rusa quedó expuesta después de la llamada telefónica anónima. Como investigadores de seguridad ética, siempre buscamos datos e información expuestos, sin apuntar nunca a ninguna organización o ubicación geográfica específica. En nuestra investigación para este informe, analizamos datos disponibles públicamente alojados en IP ubicadas en la Federación Rusa utilizando repositorios en la nube no protegidos por contraseña para comprender el "impacto cibernético" de los "eventos del mundo real". Los piratas informáticos prorrusos han estado atacando a Ucrania durante los últimos años y, desde las llamadas anónimas, podemos ver que ahora hay un cambio en la actividad cibernética dirigida a Rusia, y queríamos investigar más a fondo.
El incidente más recurrente que vimos fue en múltiples conjuntos de datos donde el nombre del archivo se cambió a "Gloria de Ucrania" (¿СаааУаа?), una referencia a la Guerra de Independencia de Ucrania de 1918-1920. En 2014, el "llamado de majestad" del presidente ucraniano Vikovich debilitó aún más la majestad de Yanukovich. Al parecer, los piratas informáticos accedieron a las bases de datos, eliminaron los archivos y lanzaron una campaña de cibersabotaje, dejando carpetas con mensajes como "Putin, detengan esta guerra", "Detengan la guerra", "No a la guerra", "Hakdeb Kurani" y muchos más. otros mensajes proucranianos.
Parece que para la mayoría de las bases de datos que analizamos, la mayoría de los archivos de la carpeta se han eliminado y ya no aparecen en el conjunto de datos. Los piratas informáticos antirrusos utilizaron un script similar al infame "MeowBot" que cambiaba los nombres de las carpetas y eliminaba el contenido de los archivos. En agosto de 2020, Bob Diachenko de Security Discovery analizó un ataque de Meowbot que borró miles de bases de datos en cuestión de días y dejó víctimas que perdieron datos y no pudieron recuperarlos, lo que causó graves daños. A diferencia del ransomware que cifra datos y exige un pago, MeowBot no exige nada. El script automatizado parece no tener otro propósito que el de borrar datos. Parte de la actividad en la base de datos rusa parece ser muy similar al ataque MeowBot de 2020 (excepto que esta vez pide el fin de la guerra).
No todos los archivos se eliminaron de todas las bases de datos y algunos contenían información de identificación personal. Una base de datos de riesgos contiene información sobre 272.394 personas catalogadas como "usuarios". No podemos identificar al propietario de esta base de datos, pero también contiene información proucraniana. Estos registros incluyen direcciones de correo electrónico, nombres, identificaciones internas e información administrativa. Conocer los nombres y las cuentas de correo electrónico de estas personas podría permitir a los miembros de Anonymous y otros grupos dirigirse a ellos en campañas de phishing o enviar malware directamente a objetivos en un intento de infectar sus dispositivos.
Utilizamos múltiples fuentes para encontrar estas bases de datos mal configuradas, incluido IoT Engine. Los piratas informáticos también pueden utilizar los métodos utilizados por investigadores de seguridad legítimos para encontrar datos.
Estos conjuntos de datos fueron descubiertos por hacktivistas (o “hacktivistas”) quienes, según la cronología del ataque a la base de datos rusa, sólo podemos suponer que están asociados con Anonymous o apoyan a este.
Al muestrear la base de datos de almacenamiento en la nube, encontramos una gran cantidad de claves y correos electrónicos de referencia. Ru, uno de los proveedores de correo electrónico más grandes de Rusia, actúa como servidor anfitrión. El peligro de exponer una clave privada o secreta es que puede usarse para desbloquear o descifrar información cifrada, exponiendo cualquier dato o información confidencial de la misma manera que una llave física abre la puerta. La base de datos también contenía mensajes y carpetas que indicaban que había sido objetivo de piratas informáticos. No está claro si las claves se han utilizado o qué datos podrían haber expuesto.
Otros conjuntos de datos expuestos dignos de mención que descubrimos en nuestra investigación incluyen al proveedor ruso de Internet GreenDot, que proporciona servicios de Internet y televisión digital en 18 ciudades rusas y contiene registros de 2,2 millones de personas. Se cambió el nombre de una pequeña cantidad de archivos, pero no se eliminaron como en otras bases de datos. Creemos que esto puede deberse a la configuración de permisos de las bases de datos individuales. En teoría, los piratas informáticos tienen suficiente información interna para intentar interrumpir los servicios o atacar otras áreas de la red. También descubrimos un conjunto de datos ruso que contiene información del minorista francés de decoración y jardinería para el hogar Leroy Merlin. La base de datos contiene análisis, seguridad, datos de registro de autorización, credenciales de administrador y contraseñas internas. Al igual que los demás, el archivo fue renombrado con mensajes proucranianos.
***Intentamos notificar a las organizaciones afectadas o en riesgo y, cuando no pudimos identificar al propietario, nos comunicamos con el proveedor de alojamiento en un intento de proteger y proteger los datos expuestos.
Anonymous tiene una historia de activismo en Internet
Anonymous se fundó en 2003 y afirma que su propósito es contrarrestar la vigilancia de Internet, la censura contra Internet, el activismo de Internet y el vigilantismo de Internet. En el pasado, Anonymous se ha dirigido a agencias gubernamentales de Estados Unidos, Israel, Túnez, Uganda y otros países. El grupo también ha adquirido empresas como PayPal, MasterCard, Visa y Sony. Hay varios grupos afiliados como LulzSec, AntiSec, NB65 y muchos otros. Se cree que muchos miembros de Anonymous participan en múltiples campañas basadas en problemas o causas que cada uno apoya. Desde 2009, sólo un puñado de miembros de Anonymous han sido arrestados o juzgados por piratería informática u otros delitos cibernéticos. La censura rusa en Internet ha dejado poco espacio para la oposición interna, pero los rusos que viven en el extranjero han expresado su descontento por los ataques en Ucrania. Los ciberataques son una forma para que grupos informales como Anonymous tengan un impacto significativo o causen daños significativos, independientemente de dónde se encuentren en el mundo, al tiempo que limitan el impacto (ya sea legal o "físico"). Los piratas informáticos de habla rusa pueden convertirse en activos valiosos para cualquier organización que apunte a los activos cibernéticos de habla rusa al proporcionarles conocimientos internos y el uso del idioma ruso. Lo que complica aún más la defensa contra estos ciberataques es que no pueden vincularse a ningún país, estado o grupo específico. Anonymous ha demostrado ser un grupo muy capaz y se ha infiltrado en varios objetivos, registros y bases de datos de alto valor en la Federación Rusa.
O