Oorlog tussen Rusland en Oekraïne: phishing-, malware- en hackergroepen kiezen partij

Russia-Ukraine War Nachrichten

Het Oekraïense Computer Emergency Response Team (CERT-UA) heeft gewaarschuwd voor door de Wit-Russische staat gesponsorde hackers die zich richten op zijn militair personeel en aanverwante personen als onderdeel van een phishing-campagne die werd opgezet tijdens de Russische militaire invasie van het land.

„Massa phishing e-mails zijn recentelijk waargenomen gericht op privé-‚i.ua‘- en ‚meta.ua‘-accounts van Oekraïense militairen en verwante personen“, stelt de CERT-UA zei. „Nadat het account is gecompromitteerd, krijgen de aanvallers door het IMAP-protocol toegang tot alle berichten.“

Vervolgens maken de aanvallen gebruik van de contactgegevens die zijn opgeslagen in het adresboek van het slachtoffer om de phishing-berichten naar andere doelen te verspreiden.

De Oekraïense regering schreef de activiteiten toe aan een dreigingsactor die wordt gevolgd als UNC1151, een in Minsk gevestigde groep wiens „leden officieren zijn van het Ministerie van Defensie van de Republiek Wit-Rusland“. In een vervolg bijwerkenzei het bureau dat de natiestaatgroep zich ook op haar eigen burgers richt, terwijl ze tegelijkertijd haar zinnen zet op Russische entiteiten –

  • Vereniging van Wit-Russen van de Wereld (Internationale Sociale Unie)
  • Wit-Russisch muziekfestival
  • Samara Oblasna Publieke Organisatie „Russisch-Wit-Russische Broederschap 2000“
  • Dzêâslov, een Wit-Russisch literair tijdschrift
  • Sovjet-Wit-Rusland (Sovetskaya Wit-Rusland), een dagblad in Wit-Rusland
  • Medewerkers van de Nationale Academie van de Republiek Kazachstan, en
  • Voice of the Motherland, een lokale krant in Wit-Rusland

UNC1151 is de Mandiant-toegewezen moniker naar een niet-gecategoriseerd dreigingscluster, dat werkt met doelstellingen die zijn afgestemd op de belangen van de Wit-Russische regering. De hackgroep zou al sinds 2016 actief zijn.

„UNC1151 heeft zich gericht op een breed scala aan overheids- en particuliere entiteiten, met een focus in Oekraïne, Litouwen, Letland, Polen en Duitsland“, aldus Mandiant-onderzoekers in een rapport van november 2021. „De targeting omvat ook Wit-Russische dissidenten, media-entiteiten en journalisten.“

De door de staat gesteunde cyberspionagegroep is ook in verband gebracht met de Ghostwriter-desinformatiecampagne die anti-NAVO en corruptie-themaverhalen verspreidde die gericht waren op Litouwen, Letland en Polen met het waarschijnlijke doel de regeringen te ondermijnen en spanningen in de regio te creëren.

Bovendien wordt aangenomen dat de defacement-aanvallen in januari van verschillende Oekraïense overheidswebsites met dreigende berichten ook het handwerk zijn van UNC1151.

Hackgroepen kiezen partij

De ontwikkeling volgt op een spervuur ​​van data wiper- en distributed-denial-of-service (DDoS)-aanvallen op Oekraïense overheidsinstanties, zelfs terwijl verschillende hackgroepen en ransomware-syndicaten profiteren van de chaos om partij te kiezen en hun activiteiten voort te zetten.

„De Anoniem collectief is officieel in cyberoorlog tegen de Russische regering,“ de gedecentraliseerde hacktivistische groep getweet, toevoegen het „lekte de database van de website van het Russische Ministerie van Defensie.“

Een andere groep die zijn trouw aan Oekraïne heeft verklaard, is de burgerwachtgroep die bekend staat als GhostSec (afkorting van Ghost Security), die bekend gemaakt het had Russische militaire websites overspoeld met DDoS-aanvallen „ter ondersteuning van de mensen in Oekraïne“.

Het Conti ransomware-kartel, dat onlangs de nu gesloten TrickBot-trojan heeft geabsorbeerd, verzamelde zijn „volledige steun“ achter de Russische regering, die dreigt „terug te slaan op de kritieke infrastructuur van een vijand“ als „iemand besluit een cyberaanval of oorlogsactiviteiten tegen Rusland te organiseren.“

De groep echter later geherformuleerd zijn verklaring om te stellen dat „we geen bondgenootschap sluiten met een regering en we veroordelen de aanhoudende oorlog.“ Maar Conti Team beweerde ook dat het „onze volledige capaciteit zal gebruiken om vergeldingsmaatregelen te nemen voor het geval de westerse oorlogsstokers proberen kritieke infrastructuur in Rusland of een Russisch sprekend gebied van de wereld aan te vallen.“

Andere hacking-entiteiten om trouw te verklaren aan Rusland zijn de Rode BandietenRU cybercriminaliteit en de minder bekende Aankomend Project ransomware-programma, dat beloofde „de Russische regering te helpen bij cyberaanvallen en gedragingen tegen Rusland“.

David
Rate author
Hackarizona