黑客组织Anonymous和其他针对俄罗斯数据的组织

研究人员发现,俄罗斯数据库的目标是删除文件,并用亲乌克兰的信息重命名文件夹。

我们与网站星球研究团队一起深入研究了著名组织“匿名”针对俄罗斯网站、技术和网络资产实施的网络攻击。在俄罗斯无端攻击乌克兰的同一天,一个与“匿名”黑客集体有关的Twitter账户呼吁来自全球的黑客以俄罗斯为目标,似乎黑客正在接听电话。记录在案;我是一名在乌克兰生活和工作了近十年的美国公民。2月24日凌晨,俄罗斯开始入侵乌克兰。我收拾了一些物品、电脑、硬盘和个人物品,尽快逃离基辅市。到早上7点,通往加油站的队伍已经排了几个小时的长队,主要道路几乎被堵住。仅仅在头三天,就有超过11.5万乌克兰人越过波兰边境,花了4天的时间才抵达。

现在暂时驻扎在波兰克拉科夫,回到网上,我开始搜索网上发生了什么活动,以及在匿名电话后暴露了哪些俄罗斯信息。作为道德安全研究人员,我们一直在寻找暴露的数据和信息,从不针对任何特定的组织或地理位置。在我们为本报告所做的研究中,我们正在寻找位于俄罗斯联邦的IP上托管的、使用无密码保护的云存储库的公开数据,以了解“真实世界事件”的“网络影响”。在过去的几年里,亲俄黑客一直以乌克兰为目标,自从匿名电话以来,我们可以看到现在针对俄罗斯的网络活动出现了转机,我们想进一步调查一下。

我们看到的最经常发生的事件是多个数据集,其中文件名被更改为“乌克兰荣耀”(СааааУааїі)——指1918-1920年乌克兰的独立战争。2014年,乌克兰总统维科维奇的“威严呼声”也进一步削弱了亚努科维奇的威严。很明显,黑客已经访问了这些数据库,删除了文件,并发起了一场网络破坏活动,在文件夹中留下了诸如“普京停止这场战争”、“停止战争”、“不战争”、“哈克德布库兰尼”等许多亲乌克兰的信息。

似乎对于我们查看的大多数数据库,文件夹中的大多数文件都已被删除,不再出现在数据集中。反俄黑客使用了与臭名昭著的“MeowBot”类似的脚本,该脚本更改了文件夹的名称并删除了文件的内容。2020年8月,安全发现公司的鲍勃·迪亚琴科(Bob Diachenko)对Meowbot攻击进行了分析,该攻击在几天内清除了数千个数据库,并对丢失数据且无法取回数据的受害者造成了严重破坏。与加密数据并要求付款的勒索软件不同,MeowBot没有任何要求。自动脚本似乎除了清除数据之外没有其他用途。俄罗斯数据库中的一些活动似乎与2020年的MeowBot攻击非常相似(除了这次要求停止战争)。

Russia Ukraine Russia Ukraine

自冲突开始以来,匿名组织和其他组织的成员以俄罗斯官方媒体、政府网站以及任何似乎已经暴露或新配置错误的数据集的俄罗斯和白俄罗斯数据库为目标。

这是一个单一原因如何将任何政府控制之外的全球个人网络团结起来的例子。有报道称,匿名组织破坏了石油巨头俄罗斯天然气工业股份公司(Gazprom)的网站,该公司是国家赞助的新闻频道RT(今日俄罗斯),并关闭了俄罗斯航天局“Roscosmos”的控制中心。2022年3月7日,“匿名者”声称侵入俄罗斯国家电视台俄罗斯24台、第一频道和莫斯科24台,播放许多俄罗斯公民不知道的乌克兰战争录像。除黑客攻击外,还发生了严重的拒绝服务(DDOS)攻击,网站服务器流量过大,无法正常运行。这些攻击通常分布在许多机器、设备和IP地址之间,几乎无法防御。在随机抽样的100个俄罗斯数据库中,有92个数据库遭到破坏。

我们发现的被黑客访问的数据库之一属于ciscenter。组织。独立国家联合体(独联体)成立于1991年底,苏联解体后,包括俄罗斯和其他11个共和国。独联体中心是一个协调独联体成员国之间有关贸易、金融、立法和安全的信息和监管实践的组织。数据库中的数百个文件夹被重命名为“putin_stop_this_war”。除了黑客攻击之外,数据库似乎还暴露了非常薄弱的管理凭证和大量电子邮件。这也会使员工更容易成为社会工程的目标,从而更深入地了解组织或社会工程。

通常情况下,当数据被暴露时,不知道信息是否被泄露,只有(所有者)进行详细的法医分析才能发现未经授权的访问。然而,在这种情况下,我们知道黑客发现并可能访问了这些系统。我们不知道数据是否被下载,也不知道黑客打算如何处理这些信息,但这些暴露的个人很可能面临进一步网络行动的真正风险。

Russia Ukraine Russia Ukraine

并非所有文件都从每个数据库中删除,有些文件包含个人身份信息。一个风险数据库包含了被列为“用户”的272394人的信息。我们无法确定这个数据库的所有者,但它也包含亲乌克兰的信息。这些记录包括电子邮件地址、姓名、内部ID和管理信息。知道这些人的姓名和电子邮件帐户可能会让匿名组织和其他组织的成员在网络钓鱼活动中以他们为目标,或者直接向目标发送恶意软件,试图感染他们的设备。

Russia Ukraine Russia Ukraine

我们使用多个来源来查找这些配置错误的数据库,包括物联网引擎。合法的安全研究人员用来查找数据的方法也可以被黑客使用。这些数据集是由黑客活动人士(或“黑客活动人士”)发现的,根据俄罗斯数据库被攻击的时间线,我们只能假设他们与匿名组织有关联或支持匿名组织。

在云存储数据库的抽样中,我们发现了大量密钥和引用邮件。俄罗斯最大的电子邮件提供商之一ru作为主机服务器。公开私钥或秘密密钥的危险在于,它可以用于解锁或解密加密信息,并以物理密钥解锁门的方式公开任何敏感数据或信息。该数据库还包含消息和文件夹,表明它已成为黑客的目标。目前尚不清楚这些钥匙是否已经被使用,或者它们可能会泄露哪些数据。

我们在研究中发现的其他值得注意的暴露数据集包括俄罗斯互联网提供商“绿点”(Green Dot),该公司在俄罗斯18个城市提供互联网和数字电视服务,包含220万条记录。有少量文件被重命名,但没有像在其他数据库中那样被删除。我们认为这可能是由于各个数据库的权限设置。从理论上讲,黑客拥有足够的内部信息,可以尝试破坏服务或攻击网络的其他区域。我们还发现了一个基于俄罗斯的数据集,其中包含法国家居装饰和园艺零售商Leroy Merlin的信息。该数据库包含分析、安全、授权日志数据、管理员凭据和内部密码。与其他文件一样,文件也被重命名为亲乌克兰的信息。

Russia Ukraine Russia Ukraine

***我们试图通知受影响或有风险的组织,当我们无法确定所有者时,我们联系了托管提供商,试图保护和保护暴露的数据。

Anonymous有网络行动主义的历史

Anonymous成立于2003年,声称其宗旨是反网络监视、反网络审查、网络行动主义和网络警戒主义。过去,“匿名”组织的目标是美国、以色列、突尼斯、乌干达和其他国家的政府机构。该集团还收购了PayPal、MasterCard、Visa和索尼等公司。有几个附属团体,如LulzSec、AntiSec、NB65和许多其他团体。据信,许多匿名成员参与了基于他们各自支持的问题或原因的多个活动。自2009年以来,只有少数匿名成员因黑客或其他网络犯罪而被捕或受审。俄罗斯的互联网审查制度在国内几乎没有反对的余地,但居住在国外的俄罗斯人已经表达了对乌克兰袭击的不满。网络攻击是匿名组织等非正式团体产生重大影响或造成重大破坏的一种方式,无论它们位于世界何处,同时限制影响(无论是法律上的还是“物理上的”)。讲俄语的黑客可以通过提供内部知识和使用俄语,成为任何针对俄语网络资产的组织的宝贵资产。让这些网络攻击的防御变得更加复杂的是,它们不能与任何国家、国家或特定团体相连接。事实证明,Anonymous是一个非常有能力的组织,已经渗透到俄罗斯联邦的一些高价值目标、记录和数据库中。

O

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注