DumpForums的亲乌克兰黑客声称已经攻破俄罗斯网络安全巨头Dr.Web，窃取了超过10TB的敏感数据，包括内部项目、客户数据库和关键基础设施访问权限。

亲乌克兰黑客活动论坛DumpForums声称已经攻破了俄罗斯网络安全公司和防病毒解决方案提供商Dr.Web。据证实，黑客宣布窃取了超过10TB的内部客户/客户数据。

此次攻击可追溯到9月14日，当时Dr.Web（又名Doctor Web、Doctor Web Ltd.和Doctor Web公司）确认遭受了网络攻击。经过调查，这家俄罗斯网络安全巨头于2024年9月17日发布了一篇简短的博客文章，透露该公司遭到了针对其“资源”的网络攻击。当时，Doctor Web声称它“及时阻止了攻击”，没有用户数据被访问或窃取。

然而，正如研究团队发现的那样，2024年10月8日上午，DumpForums黑客活动分子使用他们的Telegram帐户宣布并声称对9月份的攻击负责。黑客活动分子的Telegram帖子与Doctor Web对9月份黑客攻击的说法相矛盾。

DumpForums黑客活动分子声称Dr.Web基础设施遭到黑客攻击

根据帖子，黑客活动分子声称他们已经入侵了Dr.Web的基础设施，并补充说，他们在事先计划好一切之后渗透了该公司的本地网络。此后，他们在“短短几天内”系统性地入侵了更多服务器和资源。

此外，黑客声称已经入侵并提取了Dr.Web公司GitLab服务器的数据，该服务器存储了公司内部开发和项目，包括公司电子邮件服务器、Confluence、Redmine、Jenkins、Mantis和RocketChat。

黑客还声称已经访问并下载了整个客户端/用户数据库，并将其泄露在其官方论坛上。

为了进一步验证他们的说法，黑客提供了来自内部资源的几个数据库转储，例如ldap.dev.drweb.com、vxcube.drweb.com、bugs.drweb.com、antitheft.drweb.com和rt.drweb.com等。

更令人担忧的是，黑客声称他们控制了Dr.Web的域控制器，这是该公司基础设施的关键部分。域控制器管理网络内所有系统的身份验证和访问。通过攻陷它，攻击者可以无限制地访问整个网络，从而不断提取大量敏感数据。

据报道，这种控制水平使他们能够在窃取约10TB数据的同时，在一个月内不被发现。该组织还指出Dr.Web的安全性较差，称他们在该系统中呆了“整整一个月”，而该公司仍在继续销售产品以保护其他产品。

值得注意的是，就DumpForums黑客行动主义者提出的主张与Dr.Web进行了联系，并将对本文进行相应更新。

还值得注意的是，DumpForums以攻击俄罗斯关键基础设施而闻名。2022年6月，同一组织还对俄罗斯建设、住房和公用事业部进行了黑客攻击和破坏。黑客还窃取了该部的整个数据库，并要求支付0.5BTC作为赎金，以防止数据在网上泄露。

尽管如此，俄罗斯和乌克兰之间的网络战正在获得新的势头。自2022年2月24日冲突爆发以来，两国黑客一直在攻击对方的关键基础设施。

据乌克兰国家特别通信和信息保护局（SSSCIP）称，2024年上半年俄罗斯针对乌克兰的网络行动发生了重大转变。新战略标志着俄罗斯从之前的广谱攻击转向更有针对性的攻击方式，重点关注乌克兰的军事和国防部门。

另一方面，乌克兰黑客在过去几个月里相当活跃。他们声称发动的一些网络攻击包括针对俄罗斯银行并关闭自动取款机、针对政府部门并破坏数PB数据、 破坏该国税收系统等行动。