9 min read

Universidades da Ucrânia hackeadas por brasileiros

Universidades da Ucrânia hackeadas por brasileiros

A equipe do Wordfence identificou um ataque maciço a universidades ucranianas que coincidiu com a invasão da Ucrânia pela Rússia e resultou em pelo menos 30 sites de universidades ucranianas comprometidos. Identificamos o agente da ameaça por trás do ataque, que faz parte de um grupo chamado grupo de segunda-feira, que os membros chamam de “theMx0nday”. O grupo declarou publicamente que apoia a Rússia neste conflito.

O ator de ameaça está sediado no Brasil. A maioria dos ataques transitou por um provedor de serviços de Internet na Finlândia chamado Njalla, que afirma ser “Considerado o provedor de ‘Privacidade como Serviço’ mais notório do mundo para domínios, VPSs e VPNs” . Njalla é dirigido por Peter Sunde, que é o co-fundador do Pirate Bay, tem antecedentes criminais e cumpriu pena de prisão.

Wordfence protege mais de 8.000 sites na Ucrânia. Além das mais de 300 universidades que protegemos na Ucrânia, também protegemos sites privados, governamentais, militares e policiais. Isso nos dá uma visão dos ataques contra a Ucrânia. Neste post, explicamos como chegamos às conclusões acima e fornecemos dados de apoio, explicações e recursos visuais.

Também estamos dando o passo de ativar nossa inteligência de ameaças em tempo real em todos os sites no domínio de primeiro nível (TLD) .UA ucraniano até novo aviso. Isso normalmente está disponível apenas para nossos clientes pagos. A grande maioria dos sites que usam o Wordfence usa a versão gratuita de código aberto. Esses sites se beneficiarão dessa mudança ao receber uma lista de bloqueio de IP de nível comercial, regras de firewall em tempo real e detecção de malware em tempo real. Os operadores de sites ucranianos não precisam tomar nenhuma ação para receber esse feed de ameaças ao vivo. Implementamos a mudança minutos atrás e mais de 8.000 sites com uma extensão .UA serão atualizados nas próximas 24 horas com a mais nova inteligência de ameaças. Você pode encontrar mais detalhes sobre essa alteração no final deste artigo.

Padrões gerais de ataque quando a invasão russa cinética começou em 24 de fevereiro

A invasão russa da Ucrânia começou em 24 de fevereiro. O gráfico abaixo mostra o número geral de tentativas de exploração em sites que protegemos, com o TLD ucraniano .UA antes e depois da invasão. Este conjunto de dados inclui 8.320 sites .UA. Usaremos o termo “ataque” nesta postagem do blog para indicar uma tentativa de exploração sofisticada. Isso não inclui ataques de força bruta simples (tentativas de adivinhação de login) ou tráfego distribuído de negação de serviço. Inclui apenas tentativas de explorar uma vulnerabilidade em um site WordPress de destino, que são os sites que o Wordfence protege.

O pico acima é de pouco mais de 144.000 ataques em 25 de fevereiro, um dia após o início do ataque cinético. O pico é aproximadamente três vezes o número de ataques diários do início do mês nos sites ucranianos que protegemos.

Examinando o pico de ataques contra a Ucrânia

O Wordfence protege uma ampla gama de sites na Ucrânia, incluindo sites comerciais, governamentais locais e nacionais, militares, policiais, acadêmicos e privados. Isso nos permite amostrar dados de ataque em uma ampla variedade de setores. Compilamos uma lista de sites que receberam pelo menos o dobro do número de ataques desde o dia anterior ao início da invasão, até segunda-feira, 28 de fevereiro, que é uma janela de cerca de 5,5 dias, em comparação com os 27 dias anteriores ao início do ataque. Isso representa um aumento de 10 vezes no número médio diário de ataques.

Dos 8.320 sites da UA que protegemos, encontramos uma lista de 383 sites onde os ataques aumentaram drasticamente após a invasão. Desses 383 sites, 229 eram sites que terminavam em “EDU.UA”. Em outras palavras, sites acadêmicos e universidades na Ucrânia.

Um atacante estava fazendo um esforço conjunto para atacar universidades na Ucrânia, e eles começaram imediatamente após o início da invasão russa.

Quão grande foi o ataque visando universidades ucranianas?

Protegemos um total de 376 sites .EDU.UA na Ucrânia. O gráfico abaixo mostra a atividade de ataque em todos esses sites até 28 de fevereiro. Isso mostra apenas tentativas de exploração sofisticadas.

A maior parte do mês mostrou algumas centenas de ataques por dia em todos os sites .EDU.UA que protegemos. A partir de 25 de fevereiro, vimos um pico que atingiu mais de 104.000 ataques em um único dia direcionados a esses sites acadêmicos.

Para colocar isso em perspectiva, vimos:

  • 479 ataques em 24 de fevereiro
  • 37.974 ataques em 25 de fevereiro
  • 104.098 ataques em 26 de fevereiro
  • 67.552 ataques em 27 de fevereiro

Quais endereços IP iniciaram este ataque?

Os principais endereços IP de ataque direcionados a sites EDU.UA durante nossa janela de dois dias quando a invasão da Ucrânia começou são:

  • 185.193.127.179 com 169.132 ataques
  • 159.223.64.156 com 26.074 ataques
  • xxxx com 10.134 ataques [Redigido por um motivo técnico]
  • 217.77.209.242 com ataques de 1991

Observação: o último servidor da lista é um servidor .EDU.UA e parece ser uma máquina comprometida visando outros sites EDU.UA.

Registramos mais de 7.000 endereços IP durante esse período, mas cada um deles, exceto os quatro acima, registrou menos de 100 ataques cada. Os quatro endereços IP acima foram de longe os maiores infratores. E 185.193.127.179 registrou mais de 6 vezes o número de ataques em relação ao segundo maior infrator.

Quem está por trás do 185.193.127.179?

Njalla é o provedor de hospedagem para 185.193.127.179 e é administrado por Peter Sunde, cofundador do Pirate Bay . Njalla diz abertamente em sua página inicial que eles são

“Considerado o provedor de “Privacidade como Serviço” mais notório do mundo para domínios, VPS e VPNs.”

Peter Sund diz no seu blog que está “preocupado com a centralização do poder na UE” . De acordo com sua entrada na Wikipedia, Sunde foi preso em 2014 por acusações relacionadas ao caso The Pirate Bay e cumpriu dois terços de sua sentença de 8 meses.

Njalla é um provedor de serviços para VPNs, o que possibilita que o ataque possa ter vindo de um de seus clientes, de um servidor hackeado pertencente a um de seus clientes ou de um nó de saída de VPN. Suspeitamos que a VPN deles foi usada como um nó de saída para mascarar um agente de ameaça, que descrevemos abaixo.

A grande maioria dos ataques de 185.193.127.179 foram direcionados a instituições de ensino na Ucrânia, com mais de 171.000 ataques direcionados a sites EDU.UA . Eles foram atrás de alguns sites governamentais e três sites individuais (redigidos).

Eles lançaram 24 ataques contra empresas na Ucrânia e quatro ataques contra empresas no Brasil. A conexão do Brasil ficará clara a seguir.

Este IP não estava atacando antes da invasão da Ucrânia pela Rússia. Em seguida, aumentou por três dias durante a invasão, visando especificamente universidades na Ucrânia. Em seguida, caiu de volta para zero.

Os ataques estão comprometendo as universidades

Em nossa análise de cargas úteis de malware tentando atingir sites EDU, vimos informações que nos forneceram o nome do grupo que visava esses sites.

O grupo atende por “theMx0nday” e neste post, vamos nos referir a eles como o grupo “Monday”. O site Zone-H.org fornece um arquivo de sites desfigurados. Uma vez que os agentes de ameaças lidassem, poderíamos pesquisar o ZoneH em busca de sites relacionados e que foram invadidos. Encontramos isso:

Uma enorme lista de sites EDU.UA comprometidos atribuídos ao grupo de segunda-feira, datada de 26 de fevereiro, logo após vermos um aumento nos ataques direcionados a sites EDU.UA.

Como você pode ver abaixo, os sites EDU.UA desfigurados listados no ZoneH começam abruptamente no dia 26. Quando a invasão começou, esse ator de ameaça tomou a decisão de atacar especificamente as universidades ucranianas.

Motivações do atacante

Você notará os sites brasileiros listados no ZoneH na captura de tela acima, creditada ao grupo Monday. Lembre-se, vimos alguns hits direcionados ao Brasil a partir do endereço IP Njalla acima.

O arquivo no ZoneH da página desfigurada da National University Ostroh Academy, que é uma universidade bem conhecida que data de sua herança em 1576 , é assim. Esta imagem foi parcialmente editada para evitar a promoção de agentes de ameaças.

Mantivemos o identificador son1x na imagem acima porque esse agente de ameaça tem um histórico de roubo de dados confidenciais. Em outubro do ano passado, esse agente de ameaça desfigurou o site da Agência de Código e Cibernética da Indonésia (BSSN) e, em novembro, o mesmo invasor roubou os registros do pessoal da polícia indonésia . Esse ator de ameaças também atende por “son1x777” em uma conta do Twitter agora suspensa .

O grupo ao qual esse ator de ameaça pertence, o grupo Monday, tem uma conta no Twitter que expressou apoio à Rússia, dias antes do início da invasão russa e antes de começarem a invadir universidades ucranianas.

O grupo de segunda-feira historicamente tem como alvo um grande número de sites brasileiros. Eles incorporam um vídeo de rap brasileiro no HTML dos sites que desfiguram. Sua conta no Twitter está em português. A partir disso, podemos inferir que eles estão sediados no Brasil e são brasileiros.

O Caminho de Ataque Completo

Determinamos que o ator da ameaça está baseado no Brasil. Eles usaram vários endereços IP para lançar um ataque a universidades ucranianas quando a invasão russa da Ucrânia começou. A maioria dos ataques foi roteada via Njalla na Finlândia, que é apoiada por Peter Sunde, cofundador do The Pirate Bay e se orgulha de mascarar a identidade de seus clientes. Os ataques comprometeram pelo menos 30 sites de universidades ucranianas, listados no ZoneH, com evidências dos comprometimentos.

Wordfence está implantando inteligência de ameaças em tempo real para sites ucranianos

A National University Ostroh Academy é uma das escolas afetadas que sofreu um site invadido.

A National University Ostroh Academy é uma das escolas afetadas que sofreu um site invadido.

Com efeito imediato, estamos fornecendo regras de firewall em tempo real, assinaturas de malware em tempo real e nossa lista de bloqueio de IP para todos os sites sob o domínio de nível superior .UA protegido pelo Wordfence .

Normalmente, nossa inteligência de ameaças em tempo real está disponível apenas para nossos clientes Premium , Care and Response a um custo mínimo de US$ 99 por ano por site. Estamos fazendo isso para ajudar a bloquear ataques cibernéticos direcionados à Ucrânia. Esta atualização não requer nenhuma ação dos usuários da versão gratuita do Wordfence no domínio de nível superior UA. Estamos ativando este feed de segurança ao vivo para sites da UA automaticamente até novo aviso. Nas próximas horas, mais de 8.000 sites ucranianos que executam a versão gratuita do Wordfence se tornarão automaticamente muito mais seguros contra ataques, como esses, que os visam.

Os endereços IP maliciosos envolvidos neste ataque estão incluídos em nossa lista de bloqueio, que bloqueará completamente o acesso ao WordPress e outros aplicativos PHP instalados junto com o WordPress. A lista é atualizada em tempo real à medida que os invasores alternam entre novos endereços IP. Também implantamos regularmente novas regras de firewall e detecção de malware para bloquear e detectar ataques emergentes e atividades maliciosas. Em vez de nosso atraso habitual de 30 dias para clientes gratuitos, os sites ucranianos começarão a receber essas atualizações de segurança em tempo real, até novo aviso.

Novamente, isso não requer nenhuma ação dos usuários ucranianos da versão gratuita do Wordfence e não exige nenhum pagamento ou informações de identificação pessoal deles. Eles simplesmente se tornarão mais seguros nas próximas horas.

Via: Ukraine Universities Hacked By Brazilian Via Finland As Russian Invasion Started – wordfence.com