El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha informado de que, entre mayo y septiembre de este año, once proveedores de servicios de telecomunicaciones del país han sido hackeados por Sandworm.
Sandworm -también conocido como BlackEnergy, UAC-0082, Iron Viking, Vodoo Bear o TeleBots- es un grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia. Sus amenazas a estas telco habrían ocasionado la interrupción de sus servicios.
“Según fuentes públicas, durante el período comprendido entre el 11.05.2023 y el 27.09.2023, un grupo organizado de delincuentes rastreados por el identificador UAC-0165 interfirió en los sistemas de información y comunicación (ICS) de no menos de 11 proveedores de telecomunicaciones de Ucrania lo que, entre otras cosas, provocó interrupciones en la prestación de servicios a los consumidores”, puede leerse en el aviso publicado por el CERT-UA.
El CERT-UA también ha informado de que estos piratas informáticos patrocinados por el estado ruso usaron cuentas VPN comprometidas que no estaban protegidas por autenticación multifactor.
“Tenga en cuenta que la actividad de inteligencia y explotación se lleva a cabo desde servidores previamente comprometidos ubicados, en particular, en el segmento ucraniano de Internet. Dante, Socks5 y otros servidores proxy se utilizan para enrutar el tráfico a través de dichos nodos”, indica el aviso.
Según se hace eco Security Affairs, Sandworm se sirvió de dos puertas traseras, llamadas Poemgate y Poseidon, en los ataques contra los proveedores de telecomunicaciones.
Contra la industria y el sector público
Este grupo de ciberdelincuentes también es conocido por haber creado el infame ransomware NotPetya, que afectó a cientos de empresas en todo el mundo en junio de 2017.
Después, con la guerra de Ucrania, usaron múltiples wippers en ataques dirigidos a Ucrania, como Industroyer 2.
En mayo CERT-UA ya había advertido sobre ciberataques destructivos perpetrados por estos cibermalos contra el sector público de Ucrania.