Iniziano ad arrivare notizie, seppure con ritardo. Quella colpita non sembra una di quelle importanti, non è una grande società, non è nota al grande pubblico, eppure…
La questione è che SyTech è una società che lavora per la Federal Security Service... della Russia!!!
La notizia, dicevamo, comincia a filtrare, nonostante le difficoltà dovute alla lingua. Il 13 luglio scorso un gruppo hacker chiamato 0v1ru$ ha annunciato di aver hackerato la società (che lavora per l'FSB dal 2009) e di aver sottratto dalla sua rete interna circa 7,5 Tera byte di dati. Tra questi vi sono un certo numero di progetti che riguardano il dominio cyber.
La tipologia di attacco, che colpisce un anello della supply chain per arrivare a colpire una organizzazione più grossa e meglio protetta, si chiama "supply chaine attack" ed è sempre più frequente.
Per dimostrare di aver effettivamente hackerato la società, il gruppo ha proceduto al più classico dei "defacement", modificando la home page del sito con l'immagine "yoba-face" ed ha pubblicato diverse schermate relative alla rete interna.
I dati sono stati passati ad un altro gruppo conosciuto come DigitalRevolution e già autore di imprese simili, che ha poi condiviso le informazioni rubate coi i media russi.
Sembra che la maggior parte dei progetti sottratti fossero sviluppati a favore della Unità Militare 71330, che si occupa di "signal intelligence".
Il sito BBC russo ha riportato un elenco dei progetti sottratti, questi sembrano essere i più interessanti:
- Nautilus, per la raccolta di dati dai social media (Facebook, LinkedIn...);
- Nautilus-S, per la de-anonimizzazione del traffico TOR ();
- Reward, per entrare sotto copertura in reti P2P;
- Nadezhda, uno strumento per esplorare la topologia della internet russa;
- Tax-3, per la creazione di una intranet sicura;
- Mentor, per monitorare comunicazioni via email.
Da altra fonti si apprende che l'attacco è avvenuto ai danni del server Active Directory della SyTech. Una volta ottenuto il controllo ci si è impadroniti dei dati.
Questo è solo un primo assaggio di una mole di documenti che, essendo stata resa pubblica, richiede ora solo il tempo per essere esplorata.
Ad oggi il sito della società russa risulta ancora spento.
Per approfondire:
- https://www.bleepingcomputer.com/news/security/russian-fsb-intel-agency-...
- https://www.terabitweb.com/2019/07/20/russian-fsb-intel-agency-contracto...
- https://www.zdnet.com/article/hackers-breach-fsb-contractor-expose-tor-d...
- https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-...
- https://www.bbc.com/russian/features-49050982
- https://www.cs.kau.se/philwint/spoiled_onions/techreport.pdf
- https://www.sytech.ru/