El grupo de hackers Anonymous y otros atacan datos rusos.
Junto con el equipo de investigación de Website Planet, llevamos a cabo un estudio en profundidad de los ciberataques llevados a cabo por el conocido grupo Anonymous contra sitios web, tecnologías y activos de red rusos. El mismo día en que Rusia lanzó un ataque no provocado contra Ucrania, una cuenta de Twitter asociada con el grupo de hackers Anonymous llamó a los hackers de todo el mundo a atacar a Rusia, como si los hackers estuvieran contestando el teléfono. Para que conste, soy un ciudadano estadounidense que ha vivido y trabajado en Ucrania durante casi diez años. En la madrugada del 24 de febrero, Rusia comenzó a invadir Ucrania. Empaqué algunas cosas, computadora, disco duro y pertenencias personales y huí de Kiev lo más rápido posible. A las 7 de la mañana, las colas que conducían a las gasolineras llevaban horas esperando y la carretera principal estaba casi bloqueada. Sólo en los primeros tres días, más de 115.000 ucranianos cruzaron la frontera polaca, que tardó cuatro días en llegar.
Ahora estoy estacionado temporalmente en Cracovia, Polonia, y estoy nuevamente en línea. Comencé a buscar en línea para descubrir qué sucedió y qué información rusa quedó expuesta después de la llamada telefónica anónima. Como investigadores de seguridad ética, siempre buscamos datos e información expuestos, sin apuntar nunca a ninguna organización o ubicación geográfica específica. En nuestra investigación para este informe, analizamos datos públicos alojados en IP de la Federación de Rusia y utilizamos repositorios en la nube no protegidos por contraseña para comprender el "impacto cibernético" de los "eventos del mundo real". Los piratas informáticos prorrusos han estado atacando a Ucrania durante los últimos años. Comenzando con llamadas telefónicas anónimas, podemos ver que la actividad cibernética contra Rusia ha dado un giro y queremos investigar más a fondo.
El incidente más frecuente que vimos fueron múltiples conjuntos de datos en los que el nombre del archivo se cambió a "Gloria de Ucrania" (саааяаа?), en referencia a la Guerra de Independencia de Ucrania de 1918-1920, Violación presidencial de Ucrania de 2014. La "voz majestuosa" de Kovich debilitó aún más la majestad de Yanukovich. Al parecer, los piratas informáticos accedieron a las bases de datos, eliminaron archivos y lanzaron una campaña de sabotaje cibernético, dejando en las carpetas numerosos mensajes proucranianos como "Putin, detengan esta guerra", "Detengan la guerra", "No a la guerra". "Huck DeBlany".
Para la mayoría de las bases de datos que analizamos, la mayoría de los archivos de la carpeta parecían haber sido eliminados y ya no aparecen en el conjunto de datos. Los piratas informáticos antirrusos utilizaron un script similar al infame "MeowBot" que cambiaba los nombres de las carpetas y eliminaba el contenido de los archivos. En agosto de 2020, Bob Diachenko de Security Discovery Company analizó un ataque de Meowbot que borró miles de bases de datos en cuestión de días y causó graves daños a las víctimas que perdieron sus datos y no pudieron recuperarlos. A diferencia del ransomware que cifra datos y exige un pago, MeowBot no exige nada. El script automatizado parece no tener otro propósito que el de borrar datos. Parte de la actividad en la base de datos rusa parece ser muy similar al ataque MeowBot de 2020 (excepto que esta vez la guerra se detuvo).
No todos los archivos se eliminarán de todas las bases de datos y algunos archivos contienen información de identificación personal. La base de datos de riesgos contiene información de 272.394 personas catalogadas como "usuarios". No podemos identificar al propietario de esta base de datos, pero también contiene información proucraniana. Estos registros incluyen direcciones de correo electrónico, nombres, identificaciones internas e información administrativa. Conocer los nombres y las cuentas de correo electrónico de estas personas podría permitir a los miembros de Anonymous y otros grupos dirigirse a ellos en campañas de phishing o enviar malware directamente a objetivos en un intento de infectar sus dispositivos.
Utilizamos múltiples fuentes para encontrar estas bases de datos mal configuradas, incluido IoT Engine. Los piratas informáticos también pueden utilizar los mismos métodos utilizados por investigadores de seguridad legítimos para encontrar datos. Estos conjuntos de datos fueron descubiertos por piratas informáticos (o "hackers"). Según la cronología del ataque a la base de datos rusa, solo podemos asumir que están asociados con Anonymous o lo apoyan.
Al muestrear la base de datos de almacenamiento en la nube, encontramos una gran cantidad de claves y correos electrónicos de referencia. Ru, uno de los proveedores de correo electrónico más grandes de Rusia, actúa como servidor de alojamiento. El peligro de comprometer una clave privada o una clave secreta es que puede usarse para desbloquear o descifrar información cifrada y revelar cualquier dato o información confidencial de la misma manera que se abre una puerta con una llave física. La base de datos también contenía mensajes y carpetas que indicaban que había sido objetivo de piratas informáticos. No está claro si se utilizaron las claves o qué datos podrían haber expuesto.
Otros conjuntos de datos de exposición notables descubiertos en nuestra investigación incluyen al proveedor ruso de Internet "GreenDot", que proporciona servicios de Internet y televisión digital en 65.438 08 ciudades de Rusia y contiene 2,2 millones de registros. Se cambió el nombre de algunos archivos pero no se eliminaron como en otras bases de datos. Creemos que esto puede deberse a la configuración de permisos de varias bases de datos. En teoría, los piratas informáticos tienen suficiente información interna para intentar interrumpir el servicio o atacar otras áreas de la red. También descubrimos un conjunto de datos ruso que contiene información del minorista francés de decoración y jardinería para el hogar Leroy Merlin. La base de datos contiene análisis, seguridad, datos de registro de autorización, credenciales de administrador y contraseñas internas. Al igual que los demás, este documento pasó a llamarse Información proucraniana.
* * *Intentamos notificar a las organizaciones afectadas o en riesgo, y cuando no pudimos identificar al propietario, nos comunicamos con el proveedor de alojamiento en un intento de proteger y proteger los datos expuestos.
Anonymous tiene un historial de activismo online.
"Anonymous" se fundó en 2003, afirmando que su propósito es luchar contra la vigilancia de la red, contra la censura de la red, el radicalismo de la red y la vigilancia de la red. En el pasado, Anonymous se ha dirigido a agencias gubernamentales de Estados Unidos, Israel, Túnez, Uganda y otros países. El grupo también ha adquirido empresas como PayPal, Mastercard, Visa y Sony. Hay varios grupos afiliados como LulzSec, AntiSec, NB65 y muchos otros. Se cree que muchos miembros de Anonymous participaron en muchos eventos basados en temas o causas que apoyaban. Desde 2009, sólo un puñado de miembros de Anonymous han sido arrestados o juzgados por piratería informática u otros delitos cibernéticos. La censura rusa en Internet deja poco espacio para la oposición interna, pero los rusos que viven en el extranjero han expresado su descontento por los ataques en Ucrania. Los ciberataques son una forma para que grupos informales como Anonymous tengan un gran impacto o causen daños masivos, sin importar en qué parte del mundo se encuentren, y al mismo tiempo limiten su impacto (tanto legal como físico). Al proporcionar conocimientos internos y utilizar el idioma ruso, los piratas informáticos de habla rusa pueden convertirse en activos valiosos para cualquier organización que apunte a los activos cibernéticos rusos. Lo que complica la defensa contra estos ciberataques es que no pueden vincularse a ningún país, estado o grupo específico. Anonymous ha demostrado ser una organización muy capaz y se ha infiltrado en varios objetivos, registros y bases de datos de alto valor en la Federación Rusa.
O