Digitale aanvallen Oekraïne: een tijdlijn

Nieuwsbericht | 10-03-2022 | 15:22

Update 10-03-2022

Op 1 maart meldden onderzoekers van Wordfence hacks op websites van diverse Oekraïense universiteiten tijdens de start van de invasie. Wordfence schrijft de aanvallen toe aan de actor theMx0nda. Deze groep heeft openlijk verklaard Rusland te steunen in haar oorlog tegen Oekraïne.

Op 2 maart roept de Oekraïense overheid techbedrijven om zakelijke relaties met Rusland te verbreken. Verschillende techbedrijven stoppen (deels) met hun dienstverlening aan Rusland. Daarnaast meldt cybersecurity bedrijf Proofpoint spearphishingaanvallen op Europese overheidsinstanties door verschillende statelijke actoren. Het doel lijkt dat deze actoren meer inzicht proberen te krijgen in de opvang en migratie van Oekraïners.

Op 3 maart meldt de Oekraïense SSU dat websites van lokale overheden zijn gehackt om berichten van overgave te plaatsen. De SSU laat op Twitter weten dat het gaat om desinformatie en roept burgers op deze informatie niet voor waar aan te nemen. Ook de Oekraïense ambassade in het Verenigd Koninkrijk laat weten last te hebben van digitale aanvallen en daardoor slecht bereikbaar te zijn.

Op 8 maart meldt Der Spiegel dat de Duitse  BSI, onderdeel van het Duitse ministerie van Binnenlandse Zaken, waarschuwt voor een digitale aanval. Het zou hier gaan om een aanval op de kritieke infrastructuur als gevolg van de hulp die Duitsland aan Oekraïne biedt sinds het begin van de oorlog.

Update 28-02-2022

Na de invasie van Russische troepen in Oekraïne op 24 februari hebben diverse niet-statelijke actoren zich in het conflict gemengd. Diezelfde avond verklaarde hackers-collectief Anonymous de oorlog aan Rusland. Vervolgens claimde vrijwilligers aangesloten bij dit collectief diverse Russische overheids- en mediawebsites middels DDoS-aanvallen offline te hebben gehaald. Tevens claimt men gevoelige data van het Russische ministerie van defensie in handen te hebben. Deze claims kunnen niet altijd worden geverifieerd, wat onduidelijkheid en verwarring kan veroorzaken.

Op 25 februari liet ransomware-groepering Conti in een verklaring weten zich achter Rusland te scharen. Om Rusland te ondersteunen dreigt Conti met aanvallen op kritieke infrastructuur van landen die zich tegen Rusland keren. Ransomware-concurrent LockBit daarentegen meldde op 27 februari zich in deze oorlog afzijdig te houden en uitsluitend gemotiveerd te zijn door financiële doeleinden.

De Oekraïense minister van Digitale Transformatie riep op 26 februari hackers wereldwijd op om zich aan te melden voor een “Oekraïens IT leger”. De Belarusian Cyber-Partisans claimden op 28 februari wederom een digitale aanval op de spoorwegen in Belarus te hebben uitgevoerd om Russische troepenverplaatsingen te dwarsbomen. Een actueel overzicht van cybergroeperingen die zich in het conflict hebben gemengd, inclusief statelijke actoren als Sandworm, is hier te vinden.

De laatste ontwikkelingen in ogenschouw genomen heeft het NCSC een handelingsperspectief en dreigingspecifieke maatregelen gepubliceerd. Op dit moment worden er geen actieve digitale aanvallen op Nederland of Nederlandse belangen waargenomen.

Update 24-02-2022

Op 21 februari heeft de Oekraïense CERT-UA een website bericht gepubliceerd over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer. Op 23 februari zijn er hevige DDoS-aanvallen uitgevoerd die gericht waren op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar geweest. Het ging daarbij onder andere om de websites van diverse ministeries. Gelijktijdig zijn er meerdere phishingcampagnes waargenomen.

Op de avond van 23 februari hebben diverse partijen daarnaast melding gemaakt van een nieuwe wiper malware die zij aantroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

Update 17-02-2022

Op 15 februari vonden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne werden geraakt. Op 15 februari vond ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen zouden hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er zou geen sprake zijn van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.

Update 10-02-2022

Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een statement afgegeven over een aanval op websites van diverse overheidspartijen. Hierbij werden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch werd aangegeven dat persoonlijke gegevens van Oekraïense burgers waren gestolen en dat burgers zich moesten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikte over verhoogde rechten binnen de omgeving waardoor de websites konden worden aangepast.

Microsoft publiceerde op 15 januari een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar zowel de defacements als de aanval met de malware gepubliceerd. In dit onderzoek wordt grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

Handelingsperspectief

De aanval met WhisperGate of de andere uitgevoerde aanvallen in Oekraïne hebben niet hebben geleid tot zogeheten “spillover effecten” naar Nederland. Toch is het raadzaam om u te houden aan de basismaatregelen cybersecurity van het NCSC alsmede kennis te nemen van de publicatie van de AIVD en MIVD “Cyberaanvallen door statelijke actoren, zeven momenten om een aanval te stoppen”. Specifiek de basismaatregel “segmenteer netwerken” kan helpen om te voorkomen dat een aanval op een gekoppeld netwerk impact kan hebben op uw organisatie.

Het NCSC blijft de ontwikkelingen volgen en deelt relevante informatie waar mogelijk.

Bron: https://www.ncsc.nl/actueel/nieuws/2022/februari/10/digitale-aanvallen-oekraine-een-tijdlijn

Internet Blabla

Internet blabla, probeert de beste cyber security content op het internet te verzamelen en in een overzichtelijk geheel te presenteren. Er zijn meerdere artikelen die aangeleverd worden door lezers en cyber security bedrijven, daarnaast zijn er een aantal bloggers en journalisten actief met het plaatsen van actuele cyber security vraagstukken.