Il database contiene le seguenti informazioni: nomi completi, date di nascita, sesso, numero di telefono, codice fiscale, dati di passaporti statali e stranieri, dati di carte d’identità.
L’annuncio originale parte da RaidForums, ma viene presto cancellato, ad ogni modo, contestualmente l’utente aveva caricato in copia tutto anche su XSS, il cui thread è tuttora online e disponibile. Il post inoltre offre vari sample, anche come screenshot e scaricabili tramite AnonFiles.
Secondo l’hacker, le informazioni vengono presentate nei formati SQL, JPG e JSON. In totale è disponibile in anteprima un archivio di poco più di 11 GB.
Autenticità
L’applicazione Diya (diia.gov.ua) è un proxy di enti governativi, che ne racchiude tutti i servizi offerti per i cittadini e le imprese. Questa applicazione però non include dati su:
– E-mail
– Numero di telefono *
– Serie e numero del vecchio passaporto
* che però sembrano presenti all’interno del pacchetto esfiltrato.
E anche in questo database non ci sono dati su:
– VU
– Passaporti internazionali
– Certificati Covid
Alcune analisi sul contenuto dei sample (composto da 5 file su AnonFiles e un pacchetto .tar condiviso dal gruppo di hacking Arvin Club), più la rimozione dell’annuncio originale su RaidForums, fanno pensare a una vendita truffa di materiale in realtà molto meno sensibile di quello che il venditore dice di poter avere.
Il contenuto della tabella users esfiltrata, presumibilmente grazie allo sfruttamento di un bug, più vecchio di sei mesi, non ancora fixato, è così intestata, ecco le colonne che la compongono:
email | name_name | surname | patronymic | birthday | phone | floor | ipn | passport_series | passport_number | passport_issue_date | passport_issued_by | id_card_numbeIl contesto
La richiesta ammonta a 15.000 dollari per il database completo. Ma già dai sample, appunto, la quantità di dati resi pubblici è enorme.
In precedenza, gli analisti hanno affermato che l’Ucraina è minacciata da attacchi informatici distruttivi che potrebbero colpire le infrastrutture critiche del paese. Il 14 gennaio, gli hacker violato i siti web di numerosi ministeri del governo ucraino. Secondo le analisi preliminari alla base di questa cyberwarfare, ci sarebbe il coinvolgimento del gruppo di hacker UNC1151, sospettato di avere legami con i servizi di intelligence della Bielorussia, anche se fonti vicine a questa esfiltrazione parlano di attacchi effettuati da cittadini russi.
