Varios sitios web del gobierno ucraniano pirateados y desfigurados

Al menos 15 sitios web pertenecientes a varias instituciones públicas ucranianas han sido comprometidos, desfigurados y posteriormente desconectados.

Esto incluye los sitios web del Ministerio de Relaciones Exteriores, Agricultura, Educación y Ciencia, Seguridad y Defensa y el portal en línea del Gabinete de Ministros.

Se publicaron mensajes de desfiguración en ucraniano, ruso y polaco, advirtiendo a los visitantes del sitio que todos los datos de los ciudadanos cargados en la red pública se habían visto comprometidos.

Al momento de escribir este artículo, algunos de los sitios web permanecen inaccesibles ya que los especialistas de TI del país aún están en proceso de restaurarlos.

La policía cibernética ucraniana también publicó un anuncio en el que señala que ningún dato personal se vio comprometido como resultado de estos ataques y que los mensajes de advertencia a los visitantes eran falsos y solo tenían la intención de asustar a los ciudadanos.

“Con el fin de evitar la propagación del ataque a otros recursos y la localización del problema técnico, se han suspendido temporalmente las obras de otros sitios gubernamentales”, explica el comunicado policial (traducido).

"Actualmente, el Departamento de Policía Cibernética junto con el Servicio de Comunicaciones Especiales del Estado y el Servicio de Seguridad de Ucrania están recopilando evidencia digital e identificando a las personas involucradas en los ataques cibernéticos".

Fuentes le dijeron al reportero kim zetter que los 15 sitios ucranianos comprometidos estaban usando una versión desactualizada del CMS de octubre, vulnerable a CVE-2021-32648.

Esta es una falla de autenticación crítica (CVSS: 9.1) que permite a un atacante enviar una solicitud especialmente diseñada para realizar un restablecimiento de contraseña en la plataforma, tomando así el control de las cuentas de administrador.

Esta vulnerabilidad se solucionó con la compilación 472 versión 1.1.5, lanzada en agosto de 2021, pero parece que varios sitios web del gobierno ucraniano no han aplicado las actualizaciones de seguridad.

Un aviso posterior de la policía cibernética ucraniana confirmó el informe de Zetter sobre la vulnerabilidad CMS de octubre como un vector de intrusión.

¿Polonia también ha tenido un impacto?

Hoy, después de que Ucrania reconoció sus ataques, el Ministerio de Defensa Nacional de Polonia también anunció que algunas de sus bases de datos que contienen información militar confidencial se han visto comprometidas.

El ministerio señala que no está seguro de si la base de datos a la que se accedió contenía archivos de prueba o datos reales y las investigaciones aún están en curso.

Sin embargo, miembros de la prensa local hablan con certeza sobre la validez de los archivos filtrados y el vínculo con el incidente de ciberseguridad ucraniano.

Actores desconocidos

La policía cibernética ha abierto un caso penal en virtud del artículo 361 (interferencia no autorizada con computadoras y redes informáticas), pero los actores siguen siendo desconocidos.

Los polacos notaron errores gramaticales obvios en los mensajes publicados en las páginas eliminadas y afirmaron que esto era producto de la traducción de Yandex. Como tal, el actor puede ser ruso.

Aunque Ucrania está experimentando tensiones extremas con Rusia, los actos de desfiguración de sitios web no son el método de ataque típico de un grupo de piratería patrocinado por el estado ruso como el GRU.

Sin embargo, los investigadores teorizan que los ataques pueden haber sido realizados por el grupo de piratas informáticos GhostWriter APT, que tiene un historial de ataques a agencias gubernamentales en Polonia y Ucrania.

En noviembre, Mandiant publicó un informe que vinculaba al grupo Ghostwriter con el gobierno bielorruso.

"UNC1151 se ha dirigido a una amplia variedad de entidades gubernamentales y del sector privado, con un enfoque en Ucrania, Lituania, Letonia, Polonia y Alemania", explica un informe de Mandiant.

El enfoque también incluye disidentes bielorrusos, entidades de medios y periodistas. Aunque hay más servicios de inteligencia interesados ​​en estos países, el alcance de los objetivos específicos es más consistente con los intereses de Bielorrusia".

Además, ayer, la policía cibernética ucraniana anunció el arresto de cinco afiliados de ransomware responsables de más de 50 ataques a empresas en todo el mundo.

Las posibilidades de que esta ola de desfiguración sea un acto de represalia son escasas, ya que los mensajes no mencionan nada relevante.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad