De Russische regering waarschuwde donderdag voor cyberaanvallen gericht op binnenlandse exploitanten van kritieke infrastructuur, aangezien de volledige invasie van Oekraïne door het land op de tweede dag begint.
Naast het waarschuwen voor de “dreiging van een toename van de intensiteit van computeraanvallen”, heeft het Russische nationale computerincidentrespons- en coördinatiecentrum zei dat de “aanvallen gericht kunnen zijn op het verstoren van het functioneren van belangrijke informatiebronnen en -diensten, waardoor reputatieschade wordt veroorzaakt, ook voor politieke doeleinden.”
“Elke storing in de werking van [critical information infrastructure] objecten vanwege een reden die niet betrouwbaar is vastgesteld, moeten in de eerste plaats worden beschouwd als het resultaat van een computeraanval”, voegde het agentschap eraan toe.
Bovendien heeft het kennis gegeven van mogelijke beïnvloedingsoperaties die zijn ondernomen om “een negatief beeld van de Russische Federatie te vormen in de ogen van de wereldgemeenschap”, in navolging van een soortgelijke waarschuwing die vorige week door het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) werd uitgebracht over inspanningen om informatie te manipuleren van buitenlandse actoren tot kritieke entiteiten.
Het bureau deelde echter geen details over de aard van de aanvallen of hun herkomst.
Het advies komt als: meerdere regering en bankieren websites in Rusland, inclusief die van het leger (mil.ru), het Kremlin (kremlin.ru) en de Doema (duma.gov.ru), werden onbereikbaar gemaakt te midden van een golf van cyberoffensieven gericht op Oekraïne die resulteerde in de inzet van een gegevenswisser genaamd HermeticWiper op honderden machines in de Oost-Europese natie.
“Het is belangrijk op te merken dat de wiper hoge privileges op de gecompromitteerde host gebruikt om de host ‘niet-opstartbaar’ te maken door de opstartrecords en configuraties te negeren, apparaatconfiguraties te wissen en schaduwkopieën te verwijderen,” Lavi Lazarovitz, hoofd beveiligingsonderzoek bij CyberArk Labs , zei in een verklaring gedeeld met The Hacker News.
“De wisser is geconfigureerd om domeincontrollers niet te versleutelen – dat wil zeggen om het domein draaiende te houden en de ransomware in staat te stellen geldige referenties te gebruiken om zich bij servers te authenticeren en deze te versleutelen. Dit benadrukt verder dat de bedreigingsactoren gecompromitteerde identiteiten gebruiken om toegang te krijgen tot het netwerk en / of zijwaarts bewegen’, legde Lazarovitz uit.
Het is niet duidelijk hoeveel netwerken zijn getroffen door de voorheen ongeziene malware voor het wissen van gegevens, die zich richtte op organisaties in de financiële, defensie-, luchtvaart- en IT-industrie, aldus Symantec. Het bedrijf, dat eigendom is van Broadcom, zei ook dat het sporen van wisseraanvallen op machines in Litouwen heeft waargenomen, wat een overloopeffect impliceert.
Bovendien deelt HermeticWiper overlappingen met een andere gegevenswisser, WhisperGate genaamd, waarvan voor het eerst werd gemeld dat deze in januari tegen Oekraïense organisaties werd gebruikt. Net als de laatste gaat de nieuw ontdekte malware gepaard met de verspreiding van een ransomware-stam op gecompromitteerde systemen.
De ransomware-malware is een 64-bit, 3,14 MB .EXE-bestand, geschreven in Golang, volgens Cybereason’s incident response engineer, Chen Erlichdie een voorlopige analyse van het uitvoerbare bestand deelde.
“Het lijkt waarschijnlijk dat de ransomware werd gebruikt als lokmiddel of als afleiding van de wisseraanvallen”, zegt Symantec . zei. “Dit heeft enkele overeenkomsten met de eerdere WhisperGate-wisseraanvallen op Oekraïne, waarbij de wisser vermomd was als ransomware.”
Een eerste forensische analyse suggereert dat de aanvallen zich mogelijk al minstens drie maanden in de voorbereidingsmodus bevonden, waarbij mogelijk gerelateerde kwaadaardige activiteit al op 12 november 2021 werd gedetecteerd in een Litouwse organisatie. Ook bleek een van de HermeticWiper-monsters een compilatietijdstempel van 28 december 2021.
Hoewel de laatste ontwrichtende acties nog formeel moeten worden toegeschreven, hebben de regeringen van het VK en de VS de DDoS-aanvallen over Oekraïne medio februari aan de belangrijkste inlichtingendienst van Rusland (ook bekend als GRU).
Terwijl de aanvallen zich zowel op het fysieke als het digitale gebied blijven ontvouwen, meldt Reuters gemeld dat de Oekraïense regering de hulp zoekt van de ondergrondse hackergemeenschap in het land om cyberinfiltraties gericht op kritieke infrastructuur af te weren en geheime spionagemissies uit te voeren tegen de binnenvallende Russische troepen.
