Terwijl het aanhoudende conflict tussen Rusland en Oekraïne verder escaleert, heeft de Russische regering donderdag vrijgelaten een enorme lijst met 17.576 IP-adressen en 166 domeinen die naar eigen zeggen achter een reeks gedistribueerde denial-of-service (DDoS)-aanvallen gericht zijn op de binnenlandse infrastructuur.
Enkele van de opvallende domeinen in de lijst die is vrijgegeven door het Russische Nationale Coördinatiecentrum voor Computerincidenten (NCCCI), waren onder meer het Amerikaanse Federal Bureau of Investigation (FBI), de Central Intelligence Agency (CIA) en websites van verschillende mediapublicaties zoals de USA Today, 24News.ge, megatv.ge en het Oekraïense tijdschrift Korrespondent.
Als onderdeel van zijn aanbevelingen om de DDoS-aanvallen tegen te gaan, dringt het bureau er bij organisaties op aan om netwerkapparaten af te schermen, logboekregistratie in te schakelen, wachtwoorden te wijzigen die zijn gekoppeld aan belangrijke infrastructuurelementen, automatische software-updates uit te schakelen, plug-ins van derden op websites uit te schakelen, gegevensback-ups af te dwingen, en pas op voor phishing-aanvallen.
“Gebruik Russische DNS-servers. Gebruik de DNS-servers van het bedrijf en/of de DNS-servers van uw telecomoperator om te voorkomen dat de gebruikers van de organisatie worden omgeleid naar kwaadaardige bronnen of andere kwaadaardige activiteiten”, voegde de NCCCI eraan toe.
“Als de DNS-zone van uw organisatie [is] onderhouden door een buitenlandse telecomoperator, breng deze over naar de informatieruimte van de Russische Federatie.”
De ontwikkeling komt op het moment dat de grondoorlog is aangevuld met een spervuur van cyberaanvallen in het digitale domein, met hacktivistische groepen en andere burgerwachten die de twee landen steunen om websites van regeringen en commerciële entiteiten aan te vallen en lek troves van persoonlijke gegevens.
Volgens de wereldwijde waakhond voor internettoegang NetBlockszou Rusland uitgebreide beperkingen hebben opgelegd aan de toegang tot Facebook in het land, zelfs als wijdverbreide internetstoringen zijn gemeld in verschillende delen van Oekraïne, zoals Mariupol en Sumy.
Dat is niet alles. Oekraïne, dat erin slaagde een vrijwillig “IT-leger” van civiele hackers van over de hele wereld te verzamelen, heeft een nieuwe reeks doelen opgesteld, waaronder het Wit-Russische spoorwegnetwerk, het in eigen land ontwikkelde, op satellieten gebaseerde wereldwijde navigatiesysteem GLONASS, en telecomoperators zoals MTS en Beeline.
“Vrienden, jullie hebben het ongelooflijke al gedaan! Maar nu moeten we onze inspanningen zoveel mogelijk mobiliseren en intensiveren”, staat in een bericht op het Telegram-kanaal van het IT-leger.
Ondertussen heeft de Conti ransomware-groep, die een voorproefje kreeg van zijn eigen medicijn toen zijn aanvalsmethoden vorige week publiekelijk werden uitgelekt nadat ze trouw aan Rusland hadden verklaard, sindsdien aangekondigd dat “we in bedrijf zijn, onze infra intact is en we gaan vol gas geven”, aldus een bericht met de titel “Nog niet Kameraden!” op zijn dark web-portaal.
In een gerelateerde ontwikkeling zei het Amerikaanse ministerie van Financiën dat het sanctioneren een aantal Russische oligarchen en entiteiten voor het verlenen van directe en indirecte steun aan de regering en het uitvoeren van wereldwijde invloedsoperaties “gericht op het zaaien van onenigheid over sociale kwesties in Oekraïne.”
“Lone-wolf en georganiseerde bedreigingsactoren die over de juiste cybervaardigheden beschikken, kunnen de vijand van hun land rechtstreeks aanvallen of anderen rekruteren om mee te doen aan een gecoördineerde aanval”, onderzoekers van Trustwave SpiderLabs zei. “Deze activiteiten, in combinatie met het specifieke gebruik van malware om het fysieke slagveld te ‘voorbereiden’, zouden een meer algemeen gebruikte tactiek kunnen worden om de defensieve capaciteiten, kritieke infrastructuur of communicatiestromen van een land te verzwakken.”
