A equipe do Wordfence identificou um grande ataque a universidades ucranianas que coincidiu com a invasão da Ucrânia pela Rússia e resultou em pelo menos 30 sites comprometidos. O agente por trás do ataque foi identificado, ele faz parte de um grupo chamado The Monday (estilizado como “theMx0nday”). O grupo declarou publicamente apoio a Rússia.
O autor de ameaça está no Brasil. A maioria dos ataques transitou por um provedor de serviços de Internet chamado Njalla, um provedor de hospedagem com sede na Suécia e é administrado por Peter Sunde, cofundador do Pirate Bay. O servidor Njalla específico pelo qual o tráfego foi roteado parece estar baseado na Finlândia, com base em dados de geolocalização IP, embora Njalla afirme que seus servidores são baseados “em locais secretos na Suécia”.
Wordfence é utilizado por mais de 8.000 sites na Ucrânia. Além das mais de 300 universidades na Ucrânia, também estão incluídos sites privados, governamentais, militares e policiais. Neste post, está a explicação da empresa sobre como chegaram às conclusões acima e fornecemos dados de apoio, explicações e recursos visuais.
Conteúdo desta página
Padrões gerais de ataque quando a invasão russa cinética começou em 24 de fevereiro
A invasão russa da Ucrânia começou em 24 de fevereiro. O gráfico abaixo mostra o número geral de tentativas de exploração em sites cobertos pelo Wordfence, com o extensão ucraniana “.UA” antes e depois da invasão. Este conjunto de dados inclui 8.320 sites .UA.
Quais endereços IP iniciaram este ataque?
Os principais endereços IP de ataque direcionados a sites EDU.UA durante o início da invasão da Ucrânia são:
- 185.193.127.179 com 169.132 ataques
- 159.223.64.156 com 26.074 ataques
- x.x.x.x com 10.134 ataques [Oculto por motivos técnicos]
- 217.77.209.242 com ataques de 1991
Observação: o último servidor da lista é um servidor .EDU.UA e parece ser uma máquina comprometida visando outros sites EDU.UA.
Foram mais de 7.000 endereços IPs identificados, porém a maioria com menos de uma centena de tentativas de ataques. Os quatro endereços IP acima foram de longe os maiores infratores. E 185.193.127.179 registrou mais de 6 vezes o número de ataques em relação ao segundo maior infrator.
Quem está por trás do 185.193.127.179?
Njalla é o provedor de hospedagem para 185.193.127.179 e é administrado por Peter Sunde, cofundador do Pirate Bay. Njalla diz abertamente em sua página inicial que eles são “Considerado o provedor de “Privacidade como Serviço” mais notório do mundo para domínios, VPS e VPNs.”
Njalla é um provedor de serviços para VPNs, o que possibilita que o ataque possa ter vindo de um de seus clientes, de um servidor hackeado pertencente a um de seus clientes ou de um nó de saída de VPN. Suspeitamos que a VPN deles foi usada como um nó de saída para mascarar um agente de ameaça, que descrevemos abaixo.
A grande maioria dos ataques de 185.193.127.179 foram direcionados a instituições de ensino na Ucrânia, com mais de 171.000 ataques direcionados a sites EDU.UA. Eles foram atrás de alguns sites governamentais e três sites individuais.
Eles lançaram 24 ataques contra empresas na Ucrânia e quatro ataques contra empresas no Brasil. A conexão do Brasil ficará clara a seguir.
Este IP não estava atacando antes da invasão da Ucrânia pela Rússia. Em seguida, aumentou por três dias durante a invasão, visando especificamente universidades na Ucrânia. Em seguida, caiu de volta para zero.
Quão grande foi o ataque visando universidades ucranianas?
O gráfico abaixo mostra a atividade de ataque até 28 de fevereiro, apenas tentativas de exploração sofisticadas (não incluí ataque de força bruta, por exemplo).
A maior parte do mês mostrou algumas centenas de ataques por dia em todos os sites com extensão .EDU.UA. A partir de 25 de fevereiro, há um pico que atingiu mais de 104.000 ataques em um único dia direcionados a esses sites acadêmicos na ucrânia.
Para colocar isso em perspectiva:
- 479 ataques em 24 de fevereiro
- 37.974 ataques em 25 de fevereiro
- 104.098 ataques em 26 de fevereiro
- 67.552 ataques em 27 de fevereiro
Motivações do atacante
O site Zone-H.org fornece um arquivo de sites desfigurados. Uma vez que os agentes de ameaças lidassem, poderíamos pesquisar o ZoneH em busca de sites relacionados e que foram invadidos. Você notará alguns sites brasileiros listados no ZoneH na captura de tela abaixo, creditada ao grupo hacker. Lembre-se, vimos alguns hits direcionados ao Brasil a partir do endereço IP Njalla acima.
O grupo Monday, tem uma conta no Twitter que expressou apoio à Rússia, dias antes do início da invasão russa e antes de começarem a invadir universidades ucranianas.
O grupo de segunda-feira historicamente tem como alvo um grande número de sites brasileiros. Eles incorporam um vídeo brasileiro no HTML dos sites que desfiguram. Sua conta no Twitter está em português. A partir disso, podemos inferir que eles estão sediados no Brasil e são brasileiros.