Wczoraj rano Rosja rozpoczęła inwazję na Ukrainę. Zgodnie z przewidywaniami, fizyczne ataki były poprzedzone działaniami w cyberprzestrzeni: DDoS, czyszczenie danych, ataki na Active Directory w firmach (dystrybucja malware na komputery za pomocą GPO), sklonowane strony internetowe, Cyclops Blink malware, hackowane media społecznościowe.

Jak się okazuje Rosja przygotowania do wojny z Ukrainą nie tylko szykowała w strefie fizycznego ataku (pod pretekstem ćwiczeń z Białorusią), ale także w cyberprzestrzeni. Kopiowanie całych stron internetowych, przejmowanie kont, ataki DDos oraz produkcja malware to tylko niektóre z cyfrowych „broni” użytych do wojny. Szerząca się dezinformacja i podmienione strony Internetowe mają na celu spowodować chaos wśród ludzi i celowe wprowadzanie w błąd. Niektóre sklonowane strony zawierają malware dlatego należy bardzo uważać na to, co klikamy oraz co czytamy. Zalecamy również zmianę haseł na kontach i wprowadzenie dwuskładnikowego uwierzytelniania dla własnego bezpieczeństwa.

Atakowane są nie tylko strony rządowe i banki. Hakerzy wykorzystują także zhackowane konta użytkowników na portalach społecznościowych w celu jeszcze większego szerzenia dezinformacji. Facebook i Twitter sugerują, że użytkownicy na Ukrainie zamykają lub blokują swoje konta, aby chronić je przed hakerami i manipulacjami podczas rosyjskiej inwazji – pisze portal BUSINESS INSIDER.


Jak wygląda wojna w cyberprzestrzeni?

  • Ponowne ataki DDoS rozpoczęły się na stronach internetowych ukraińskich agencji rządowych i banków
  • Na ukraińskich komputerach, a także na maszynach na Łotwie i Litwie wykryto nowe złośliwe oprogramowanie do czyszczenia danych
  • Badacze zidentyfikowali serwis internetowy, w którym znajdują się sklonowane kopie wielu ukraińskich stron rządowych oraz główna strona Urzędu Prezydenta, zawierająca pułapki ze złośliwym oprogramowaniem

Ponadto brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) oraz amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) opublikowały szczegółowe informacje na temat nowego złośliwego oprogramowania atakującego urządzenia sieciowe, które przypisały Sandworm (znanemu również jako BlackEnergy), podmiotowi zajmującemu się zagrożeniem, którego te agencje wcześniej przypisane do Głównego Ośrodka Technik Specjalnych GTsST rosyjskiego GRU.


Ataki DDoS

Ostatnia runda ataków DDoS rozpoczęła się w środę po południu. Tak jak poprzednio celem były strony internetowe kilku ukraińskich banków i agencji rządowych, w tym ukraińskiego Ministerstwa Obrony, Ministerstwa Spraw Zagranicznych, ukraińskiego parlamentu oraz Służby Bezpieczeństwa Ukrainy. Cel ataku w tym przypadku jest oczywisty.

Wszystkie strony z wyjątkiem ostatniej są obecnie dostępne. Ruch kierowany na stronę ukraińskiego Ministerstwa Obrony najpierw przechodzi przez filtry Cloudflare. Dostęp do strony Privatbank jest również moderowany przez konfigurację mającą na celu udaremnienie botów.


Czyszczenie danych za pomocą HermeticWiper

Jak się okazuje szyfrowanie danych dla uzyskania okupu w przypadku działań wojennych nie ma większego znaczenia. W tym przypadku dane są automatycznie czyszczone/kasowane. Dlatego warto posiadać backupy, często je przeprowadzać i przede wszystkim je testować.
Takie zalecenie znajdziemy tez w opublikowanym wczoraj komunikacie CERT w przedstawionych rekomendacjach dla firm i obywateli:

Badacze ESET odkryli w środę, używane na Ukrainie nowe złośliwe oprogramowanie do czyszczenia danych:

„Telemetria ESET pokazuje, że została zainstalowana na setkach maszyn w kraju. Wynika to z wcześniejszych ataków DDoS na kilka ukraińskich stron internetowych” – podzieliła się firma.

Według firmy ESET, plik binarny Wiper został podpisany za pomocą legalnego certyfikatu podpisującego kod (prawdopodobnie został sfałszowany), wykorzystuje legalne sterowniki z oprogramowania EaseUS Partition Master do uszkodzenia danych, a następnie ponownie uruchamia komputer docelowy.

Ciekawe jest również sposób ataku cyberprzestępców na infrastrukturę IT firm:

„W jednej z atakowanych organizacji malware do wymazywania danych został zainstalowany na komputerach za pomocą GPO (polityki zasad), co oznacza, że atakujący prawdopodobnie przejęli kontrolę nad kontrolerami domeny w Active Directory” – dodała również firma.

GPO w Active Directory służy do konfiguracji komputerów oraz umożliwia instalacje oprogramowania. Tę ostatnia funkcjonalność postanowili wykorzystać przestępcy i zainfekować końcówki. O bezpieczeństwie Active Directory piszemy dużo na naszym portalu.

Nazywane HermeticWiper złośliwe oprogramowanie zostało również wykryte przez badaczy firmy Symantec.


Sklonowane ukraińskie witryny rządowe

Niezależni badacze zagrożeń Snorre Fagerland, Bellingcat i The Insider odkryli serwis internetowy, który „odegrał rolę w poprzednich cyberatakach powiązanych z rosyjskimi interesami państwowymi” i odkryli, że hostowane są na nim sklonowane kopie wielu ukraińskich rządowych stron internetowych.

„Sklonowane strony internetowe powstały nie wcześniej niż w listopadzie 2021 r., mniej więcej w czasie, gdy rozpoczęła się ostatnia runda eskalacji Rosji przeciwko Ukrainie” – powiedział Bellingcat.

„W szczególności sklonowana wersja strony ukraińskiego prezydenta została zmodyfikowana tak, aby zawierała klikalną kampanię „Wspieraj prezydenta”, która po kliknięciu pobiera pakiet złośliwego oprogramowania na komputer użytkownika”.

W chwili obecnej malware jest wykrywany przez 51 antywirusów.

W jaki sposób te sklonowane strony internetowe zostałyby wykorzystane, jest oczywiście niemożliwe do ustalenia, chociaż badacze odkryli skopiowane strony logowania, które wskazują na phishing.

Spekulowali również na temat ostatecznych celów szkodliwego oprogramowania, takich jak narażanie maszyn dziesiątek lub setek tysięcy Ukraińców i wykorzystywanie ich do ataków DDoS oraz kradzież danych uwierzytelniających kont w mediach społecznościowych do przyszłego wykorzystania w internetowych kampaniach dezinformacyjnych.

„Nie ma dowodów na to, że infrastruktura i złośliwe oprogramowanie stojące za [tą usługą internetową] było wykorzystywane lub powiązane z dzisiejszymi cyberatakami doświadczanymi przez ukraińskie instytucje rządowe” – zauważyli badacze Bellingcat.

Dodali również, że w ciągu ostatnich dwóch miesięcy „ci sami cyberprzestępcy wysyłali złośliwe oprogramowanie w ponad 35 różnych plikach zip za pośrednictwem odsyłaczy discord-u”, mające na celu uderzenie w infrastrukturę krytyczna, różne ministerstwa i krajową agencję nuklearną.


Malware Cyclops Blink „zastępuje” VPNFilter

NCSC i CISA opublikowały szczegółowe informacje na temat Cyclops Blink, nowego szkodliwego oprogramowania atakującego urządzenia sieciowe, które jest rzekomo wykorzystywane przez cyberprzestępcę Sandworm.

Cyclops Blink wydaje się być ramą zastępczą dla złośliwego oprogramowania VPNFilter ujawnionego w 2018 r., które wykorzystywało urządzenia sieciowe, głównie routery małych biur/biur domowych (SOHO) oraz urządzenia sieciowej pamięci masowej (NAS)” – powiedział NCSC.

Aktor do tej pory wdrożył przede wszystkim Cyclops Blink na urządzeniach WatchGuard [firewall], ale prawdopodobnie Sandworm byłby w stanie skompilować złośliwe oprogramowanie dla innych architektur i oprogramowania układowego”.

Malware zbiera informacje o urządzeniu, wysyła je do serwera dowodzenia i jest w stanie pobierać i uruchamiać pliki, a także uzyskiwać dodatkowe moduły w późniejszym terminie.

Najbardziej interesującą rzeczą w tym złośliwym oprogramowaniu jest jego mechanizm trwałości: proces aktualizacji legalnego oprogramowania sprzętowego urządzenia:

„Dzięki temu uzyskuje się trwałość po ponownym uruchomieniu urządzenia i utrudnia naprawę”zauważył NCSC.

WatchGuard opublikował również FAQ na ten temat, plan diagnozy i naprawy oraz narzędzia do wykrywania.

„Po dokładnym dochodzeniu WatchGuard uważa, że podmiot zajmujący się zagrożeniami wykorzystał wcześniej zidentyfikowaną i załataną lukę, która była dostępna tylko wtedy, gdy zasady zarządzania urządzeniami zapory zostały skonfigurowane tak, aby umożliwić nieograniczony dostęp do zarządzania z Internetu. Ta luka została w pełni rozwiązana przez poprawki bezpieczeństwa, które zaczęły być wprowadzane w aktualizacjach oprogramowania w maju 2021 roku” – zauważyła firma.

WatchGuard został po raz pierwszy poinformowany przez FBI o ataku na jego urządzenia pod koniec listopada 2021 r., więc ten powszechny kompromis nie wydaje się mieć związku z obecną sytuacją na Ukrainie. Niemniej jednak, biorąc pod uwagę jego rzekome źródło, może to być przygotowanie do przyszłych ataków, które mogą się jeszcze wydarzyć podczas rozwijającego się konfliktu zbrojnego.


Czego możemy się dalej spodziewać?

W Internecie słychać już o reakcjach obronnych. Grupa Anonymous wypowiedziała cyberwojnę Rosji. Hakerzy zaatakowali prorządowy kanał RT News. Zaczęli od ataku na prokremlowski propagandowy kanał informacyjny RT News i zakłócają pracę rosyjskim dostawcom Internetu, by utrudnić przesył danych wojskowych. Zapowiedzieli, że ich działania wpłyną również na sektor prywatny.

Chester Wiśniewski, główny badacz w Sophos, zwrócił uwagę, że wojna informacyjna to sposób, w jaki Kreml może próbować kontrolować reakcję reszty świata na działania na Ukrainie lub w jakimkolwiek innym celu ataku.

„Fałszywe flagi, błędna atrybucja, zakłócona komunikacja i manipulacje w mediach społecznościowych to kluczowe elementy rosyjskiego podręcznika wojny informacyjnej. Nie muszą tworzyć trwałej osłony dla działań w terenie i gdzie indziej, po prostu muszą powodować wystarczająco dużo opóźnień, zamieszania i sprzeczności, aby umożliwić innym jednoczesnym operacjom osiągnięcie swoich celów”

„Co ciekawe, Stany Zjednoczone i Wielka Brytania próbują zapobiegać niektórym kampaniom dezinformacyjnym, a to może ograniczyć ich skuteczność. Nie powinniśmy jednak zakładać, że napastnicy przestaną próbować, więc musimy być przygotowani i czujni”.

„Chociaż szczegółowa ochrona powinna być normalną rzeczą, do której należy dążyć w najlepszych czasach, jest to szczególnie ważne, jeśli możemy spodziewać się wzrostu częstotliwości i nasilenia ataków. Dezinformacja i propaganda wkrótce osiągną temperaturę wrzenia, ale musimy trzymać nos przy ziemi, zamykać włazy i monitorować, czy w naszych sieciach nie ma nic nietypowego, gdy konflikty przychodzą i odpływają, a nawet kiedy/jeśli wkrótce się skończą. Ponieważ, jak wszyscy wiemy, pojawienie się dowodów na cyfrowe włamania spowodowane konfliktem rosyjsko-ukraińskim może zająć miesiące”.

Podziel się z innymi tym artykułem!