pexels-pixabay-38275

Universidades da Ucrânia hackeadas por brasileiros durante início da invasão russa

A equipe do Wordfence identificou um grande ataque a universidades ucranianas que coincidiu com a invasão da Ucrânia pela Rússia e resultou em pelo menos 30 sites comprometidos. O agente por trás do ataque foi identificado, ele faz parte de um grupo chamado The Monday (estilizado como “theMx0nday”). O grupo declarou publicamente apoio a Rússia.

O autor de ameaça está no Brasil. A maioria dos ataques transitou por um provedor de serviços de Internet chamado Njalla, um provedor de hospedagem com sede na Suécia e é administrado por Peter Sunde, cofundador do Pirate Bay. O servidor Njalla específico pelo qual o tráfego foi roteado parece estar baseado na Finlândia, com base em dados de geolocalização IP, embora Njalla afirme que seus servidores são baseados “em locais secretos na Suécia”.

Wordfence é utilizado por mais de 8.000 sites na Ucrânia. Além das mais de 300 universidades na Ucrânia, também estão incluídos sites privados, governamentais, militares e policiais. Neste post, está a explicação da empresa sobre como chegaram às conclusões acima e fornecemos dados de apoio, explicações e recursos visuais.

Padrões gerais de ataque quando a invasão russa cinética começou em 24 de fevereiro

A invasão russa da Ucrânia começou em 24 de fevereiro. O gráfico abaixo mostra o número geral de tentativas de exploração em sites cobertos pelo Wordfence, com o extensão ucraniana ".UA" antes e depois da invasão. Este conjunto de dados inclui 8.320 sites .UA.

Pico de ataques maliciosos a sites ucranianos no momento da invasão

Pico de ataques maliciosos a sites ucranianos no momento da invasão

Quais endereços IP iniciaram este ataque? top ips attacking edu ua during invas3

Os principais endereços IP de ataque direcionados a sites EDU.UA durante o início da invasão da Ucrânia são:

  • 185.193.127.179 com 169.132 ataques
  • 159.223.64.156 com 26.074 ataques
  • x.x.x.x com 10.134 ataques [Oculto por motivos técnicos]
  • 217.77.209.242 com ataques de 1991

Observação: o último servidor da lista é um servidor .EDU.UA e parece ser uma máquina comprometida visando outros sites EDU.UA.

Foram mais de 7.000 endereços IPs identificados, porém a maioria com menos de uma centena de tentativas de ataques. Os quatro endereços IP acima foram de longe os maiores infratores. E 185.193.127.179 registrou mais de 6 vezes o número de ataques em relação ao segundo maior infrator.

Quem está por trás do 185.193.127.179?

Njalla é o provedor de hospedagem para 185.193.127.179 e é administrado por Peter Sunde, cofundador do Pirate Bay. Njalla diz abertamente em sua página inicial que eles são “Considerado o provedor de “Privacidade como Serviço” mais notório do mundo para domínios, VPS e VPNs.”

Njalla é um provedor de serviços para VPNs, o que possibilita que o ataque possa ter vindo de um de seus clientes, de um servidor hackeado pertencente a um de seus clientes ou de um nó de saída de VPN. Suspeitamos que a VPN deles foi usada como um nó de saída para mascarar um agente de ameaça, que descrevemos abaixo.

A grande maioria dos ataques de 185.193.127.179 foram direcionados a instituições de ensino na Ucrânia, com mais de 171.000 ataques direcionados a sites EDU.UA. Eles foram atrás de alguns sites governamentais e três sites individuais.

Eles lançaram 24 ataques contra empresas na Ucrânia e quatro ataques contra empresas no Brasil. A conexão do Brasil ficará clara a seguir.

Brasileiro invade sites ucranianos

Brasileiro invade sites ucranianos

Este IP não estava atacando antes da invasão da Ucrânia pela Rússia. Em seguida, aumentou por três dias durante a invasão, visando especificamente universidades na Ucrânia. Em seguida, caiu de volta para zero.

Quão grande foi o ataque visando universidades ucranianas?

O gráfico abaixo mostra a atividade de ataque até 28 de fevereiro, apenas tentativas de exploração sofisticadas (não incluí ataque de força bruta, por exemplo).

attacks on edu ua sites 30d

A maior parte do mês mostrou algumas centenas de ataques por dia em todos os sites com extensão .EDU.UA. A partir de 25 de fevereiro, há um pico que atingiu mais de 104.000 ataques em um único dia direcionados a esses sites acadêmicos na ucrânia.

Para colocar isso em perspectiva:

  • 479 ataques em 24 de fevereiro
  • 37.974 ataques em 25 de fevereiro
  • 104.098 ataques em 26 de fevereiro
  • 67.552 ataques em 27 de fevereiro

Motivações do atacante

O site Zone-H.org fornece um arquivo de sites desfigurados. Uma vez que os agentes de ameaças lidassem, poderíamos pesquisar o ZoneH em busca de sites relacionados e que foram invadidos. Você notará alguns sites brasileiros listados no ZoneH na captura de tela abaixo, creditada ao grupo hacker. Lembre-se, vimos alguns hits direcionados ao Brasil a partir do endereço IP Njalla acima.

zone h shot two

O grupo Monday, tem uma conta no Twitter que expressou apoio à Rússia, dias antes do início da invasão russa e antes de começarem a invadir universidades ucranianas.

monday russia support

O grupo de segunda-feira historicamente tem como alvo um grande número de sites brasileiros. Eles incorporam um vídeo brasileiro no HTML dos sites que desfiguram. Sua conta no Twitter está em português. A partir disso, podemos inferir que eles estão sediados no Brasil e são brasileiros.

Faça seu comentário

Seu e-mail não será publicado. Campos com * são obrigatórios,