Grupurile de hacking susținute de stat au compromis cel puțin cinci companii globale de telecomunicații, printre care şi România, și au furat înregistrări telefonice și date, potrivit cercetătorilor în domeniul securității cibernetice.

Grupurile de hacking au desfășurat o campanie din 2017 până în 2021, în unele cazuri exploatând vulnerabilitățile de securitate din serverele Exchange ale Microsoft Corp. pentru a avea acces la sistemele interne ale companiilor respective, potrivit unui nou raport publicat marți de securitatea din SUA. firma Cybereason Inc. Un grup de hackeri, suspectaţi că ar proveni din China, a furat în ultimii ani o mare cantitate de date de la companii strategice din România, Coreea de Sud, Azerbaidjan, Iordania şi Emiratele Arabe Unite.

Alte victime: Doosan Fuel Cell Co. din Coreea; Institutul Român de Cercetări Nucleare din Pitești; Compania petrolieră de stat din Republica Azerbaidjan

Conform relatărilor în iarna anului trecut, experţii de la Resecurity, o firmă din Los Angeles specializată în cybersecurity, au dat peste o cantitate foarte mare de date furate în timp ce investigau atacurile unor hackeri asupra unei mari companii de retail din Italia. Pe o platformă de stocare cloud au fost găsiţi cinci gigabyţi de date ce fuseseră furate în ultimii trei ani şi jumătate de la ministere de Externe şi companii energetice prin atacuri informatice asupra serverelor Microsoft Exchange. În total, specialiştii de la Resecurity au găsit documente şi e-mailuri de la şase ministere de Externe şi opt companii energetice din Orientul Mijlociu (Iordania, Emiratele Arabe Unite), Asia (Azerbaidjan) şi Europa de Est (România). Compania energetică românească de la ca, e hackerii, suspectaţi că ar proveni din China, au furat date timp de mai mulţi ani, este Institutul de Cercetări Nucleare de la Mioveni, scrie leaderpost.

Contactaţi de către jurnaliştii americani de la Bloomberg, reprezentanţii ICN Mioveni nu au dorit să facă vreun comentariu

Celelalte companii și unitatea de cercetare nucleară din România nu au răspuns la solicitările de comentarii. Atacurile cibernetice din ultimii trei ani şi jumătate, ce nu fuseseră raportate până acum, seamănă foarte mult cu alte atacuri mediatizate în acest an, în perioada ianuarie-martie.

Iar Microsoft a acuzat că atacurile cibernetice din acest an au fost comise de un grup de hackeri sponsorizaţi de către statul chinez, grup ce ar purta numele Hafnium şi ar strânge date pentru operaţiuni de spionaj cibernetic. Încă nu s-a stabilit cum au intrat hackerii în reţelele companiilor energetice, inclusiv în serverele de la ICN Mioveni.  Ce s-a descoperit deocamdată este că hackerii au folosit un software open-source intitulat Mimikatz pentru a fura parole şi a stabili o conexiune cu serverele atacate ulterior. Guvernul chinez a negat cu vehemenţă că în spatele atacurilor cibernetice s-ar afla hackeri sponsorizaţi de China. „China se opune categoric oricărei forme de atac sau inflitrări online”, a transmis Ministerul de Externe din China.

Ce este Mimikatz şi cum să vă apărați împotriva acestui instrument care fură parole

Mimikatz este un instrument post-exploatare de vârf care elimină parolele din memorie, precum și hash-uri, coduri PIN și bilete Kerberos.

Mimikatz exploatează funcționalitatea Windows Single Sign-on (SSO) pentru a culege datele. Până la Windows 10, Windows a folosit în mod implicit o caracteristică numită WDigest care încarcă parolele criptate în memorie, dar încarcă și cheia secretă pentru a le decripta.

WDigest a fost o caracteristică utilă pentru autentificarea unui număr mare de utilizatori într-o rețea, cum ar fi o întreprindere sau guvern, dar permite, de asemenea, să exploateze această caracteristică, aruncând memoria și extragând parolele.

În 2013, Microsoft a făcut posibilă dezactivarea acestei caracteristici începând cu Windows 8.1 și este dezactivată în mod implicit în Windows 10. Cu toate acestea, Windows este încă livrat cu WDigest, iar un atacator care obține privilegii administrative poate pur și simplu să îl activeze și să ruleze Mimikatz.