Ένας Ρώσος υπήκοος, ονόματι Evgeniy Doroshenko, κατηγορείται για την παροχή πρόσβασης σε εταιρικά δίκτυα αμερικανικών εταιρειών. Λέγεται ότι αυτή η δραστηριότητα συνέβαινε από τον Φεβρουάριο του 2019 έως τον Μάιο του 2024.
Ουσιαστικά, ο Ρώσος λειτουργούσε ως initial access broker (IAB). Έτσι, ονομάζεται ένας παράγοντας απειλής που παραβιάζει εταιρικά δίκτυα και στη συνέχεια πουλά την πρόσβαση σε άλλους παράγοντες απειλών. Με αυτόν τον τρόπο, επιτρέπει την κλοπή δεδομένων και την πραγματοποίηση διαφόρων επιθέσεων εναντίον των θυμάτων.
Ο Doroshenko είναι γνωστός στο διαδίκτυο με τα ψευδώνυμα “FlankerWWH” και “Flanker“. Μετά την παραβίαση εταιρικών δικτύων, πουλούσε την πρόσβαση σε ρωσόφωνα hacking φόρουμ.
Δείτε επίσης: Τα VPN της Check Point χρησιμοποιούνται για παραβίαση εταιρικών δικτύων
Το κατηγορητήριο αναφέρει ένα περιστατικό από τον Ιανουάριο του 2024, όταν ο FlankerWWH προσπάθησε να πουλήσει πρόσβαση στο δίκτυο μιας εταιρείας στην κομητεία Μπέργκεν του Νιου Τζέρσεϊ.
Ο έλεγχος των δεδομένων σχετικά με τη δραστηριότητα του FlankerWWH δείχνει ότι η προτιμώμενη μέθοδος επίθεσης ήταν η παραβίαση δικτύων μέσω brute-forcing εκτεθειμένων Remote Desktop Protocol services.
Επιπλέον, ο ίδιος χρήστης εντοπίστηκε να ζητά βοήθεια για το σπάσιμο NTLM hashes, τα οποία πιθανότατα αποκτήθηκαν μετά από παραβίαση ενός δικτύου.
Χρησιμοποιώντας το σύστημα πληροφοριών απειλών της Flare, το BleepingComputer βρήκε πρόσθετες αναρτήσεις του Ρώσου Evgeniy Doroshenko, ο οποίος ζητούσε βοήθεια για την αφαίρεση κωδικών πρόσβασης από υπολογιστικά φύλλα του Excel και συμβουλές για την επικοινωνία με τον προγραμματιστή ενός keylogger.
Δείτε επίσης: Κινέζοι hackers στρέφονται σε δίκτυα μεσολάβησης ORB
Εκτός από όλα τα παραπάνω, το κατηγορητήριο αναφέρει επίσης μια περίπτωση όπου ο Doroshenko έκλεψε πληροφορίες από ένα από τα συστήματα που παραβίασε, αξίας άνω των 5.000 δολαρίων.
Προς το παρόν, ωστόσο, ο ύποπτος δεν έχει συλληφθεί και βρίσκεται στη Ρωσία.
Initial access broker
Η υπόθεση του Evgeniy Doroshenko υπογραμμίζει την αυξανόμενη απειλή των initial access broker στον κόσμο του εγκλήματος στον κυβερνοχώρο. Αυτά τα άτομα ή ομάδες ειδικεύονται στην απόκτηση πρόσβασης σε ευάλωτα δίκτυα υπολογιστών και στην πώληση αυτής της πρόσβασης σε άλλους εγκληματίες. Αυτό επιτρέπει σε εγκληματίες του κυβερνοχώρου με περιορισμένες τεχνικές δεξιότητες να πραγματοποιούν εξελιγμένες επιθέσεις, διευκολύνοντάς τους να επωφεληθούν από τις παράνομες δραστηριότητές τους.
Οι initial access broker συχνά χρησιμοποιούν διάφορες τεχνικές για να αποκτήσουν πρόσβαση σε στοχευμένα δίκτυα, όπως η εκμετάλλευση ευπαθειών λογισμικού, τα μηνύματα ηλεκτρονικού ψαρέματος ή τακτικές κοινωνικής μηχανικής. Στη συνέχεια πωλούν αυτήν την πρόσβαση σε υπόγεια φόρουμ ή αγορές για ένα σημαντικό κέρδος.
Αυτό το είδος εγκληματικής δραστηριότητας είναι ιδιαίτερα ανησυχητικό, καθώς όχι μόνο θέτει σε κίνδυνο άτομα και επιχειρήσεις, αλλά έχει επίσης μεγαλύτερες επιπτώσεις στην εθνική ασφάλεια. Οι εγκληματίες του κυβερνοχώρου που αποκτούν πρόσβαση σε ευαίσθητα κυβερνητικά δίκτυα θα μπορούσαν ενδεχομένως να προκαλέσουν σημαντική ζημιά και να διαταράξουν κρίσιμες υποδομές.
Δείτε επίσης: Η Unfading Sea Haze κρυβόταν σε κυβερνητικά δίκτυα για 6 χρόνια
Οι υπηρεσίες επιβολής του νόμου εργάζονται συνεχώς για να εντοπίσουν και να συλλάβουν αυτούς τους εγκληματίες, αλλά είναι ένα δύσκολο έργο. Με το διαρκώς εξελισσόμενο τοπίο του εγκλήματος στον κυβερνοχώρο και την ανωνυμία που παρέχει ο σκοτεινός ιστός, αυτά τα άτομα είναι δύσκολο να εντοπιστούν.
Για την προστασία από αυτού του είδους την απειλή, είναι ζωτικής σημασίας για άτομα και οργανισμούς να δώσουν προτεραιότητα στα μέτρα κυβερνοασφάλειας και να παραμείνουν σε επαγρύπνηση έναντι πιθανών επιθέσεων. Αυτό περιλαμβάνει την τακτική ενημέρωση λογισμικού και συστημάτων, την εφαρμογή ισχυρών κωδικών πρόσβασης και ελέγχου ταυτότητας πολλαπλών παραγόντων και την εκπαίδευση των εργαζομένων σχετικά με τους κινδύνους των απατών ηλεκτρονικού “ψαρέματος” (phishing).
Πηγή: www.bleepingcomputer.com
