Russische Cyberangriffe auf die Ukraine

Der Cyberkrieg tobt in den Schatten. Das moderne Internet hat die Landschaft der Bedrohungen erheblich verändert. Es hat eine neue Dimension geschaffen, in der Länder und Einzelpersonen alltagskritische Systeme beeinflussen, stören und zerstören können. Vom Kraftwerk bis zur Bank sind alle Systeme gefährdet. Das Orca Security Research Pod hat die Cyberangriffe, die im Vorfeld des russischen Einmarsches in die Ukraine Ende Februar stattfanden, aktiv verfolgt und verfolgt sie auch weiterhin. Die Cyberangriffe haben mehrere Bedrohungsvektoren kombiniert, darunter Malware, verteilte Denial-of-Service-Angriffe, Social-Engineering-Kampagnen und andere koordinierte Techniken.

Die russische Invasion in der Ukraine begann physisch am 24. Februar 2022. Die russische Cyberinvasion in die Ukraine startete jedoch schon vor langer Zeit, mit vielen wichtigen Ereignissen im Laufe der Jahre, wie etwa der Annexion der Krim, bei der viele ukrainische Websites und das Mobilfunknetz abgeschaltet wurden. Danach sorgten zwei große, durch Cyberangriffe verursachte Stromausfälle in den Jahren 2015 und 2016 dafür, dass Hunderttausende im Dunkeln saßen. Der Ransomware-Angriff Non-Petya richtete sich an einem ukrainischen Nationalfeiertag gegen den Finanzsektor des Landes, breitete sich aber von dort aus auf viele Unternehmen in der ganzen Welt aus und hinterließ enorme finanzielle Schäden.

Im November 2021 flammten die Spannungen zwischen der Ukraine und Russland mit russischen Truppen an den Grenzen wieder auf. Zu dieser Zeit veröffentlichte der ukrainische Geheimdienst technische Informationen und Erkenntnisse über die Gamaredon-Gruppe, eine APT-Gruppe, die jahrelang die ukrainische Regierung angegriffen hatte und mit dem russischen Föderalen Sicherheitsdienst in Verbindung stand.

WhisperGate-Malware

Im Januar 2022 – mit dem Fortschritt der Gespräche zwischen den USA, der NATO und der Ukraine – wuchsen die Spannungen zwischen den beiden Ländern. Daraufhin wurde eine starke Zunahme von Cyberangriffen festgestellt und am 13. Januar zum ersten Mal eine zerstörerische Malware einer speziellen Kampagne entdeckt. Die Malware mit dem Namen WhisperGate ist so konzipiert, dass sie wie ein Ransomware-Angriff aussieht, aber keine Möglichkeit zur Wiederherstellung bietet. Sie überschrieb die MBR-Komponente in Windows-Rechnern und lud eine weitere Nutzlast herunter, die alle Dateien aus vordefinierten Pfaden entfernte. Die Dateien wurden nicht vollständig entfernt, was wahrscheinlich von den Angreifern beabsichtigt war, um eher psychologischen Schaden anzurichten.

Laufende Cyberangriffe, die zur Invasion führen

Am 14. Januar 2022 wurden über 70 ukrainische Websites verunstaltet. Der Inhalt der Websites wurde mit dem gleichen Satz „Habt Angst und wartet auf das Schlimmste“ in drei Sprachen geändert: Ukrainisch, Russisch und falsch geschriebenes Polnisch. Am 15. Februar 2022 wurde ein groß angelegter DDoS-Angriff beobachtet, der zwei der größten Banken der Ukraine und mehrere Regierungsseiten lahmlegte. Dieser Angriff wurde als der größte DDoS-Angriff bezeichnet, der jemals in der Ukraine stattgefunden hat.

Hermetic-Malware geht der Invasion im Februar voraus

Nur einen Tag vor der physischen Invasion fanden zwei große Cyberangriffe statt. Der erste war ein großer DDoS-Angriff, der viele Regierungsseiten und Banken lahmlegte. Während dieses Angriffs wurde eine zweite Malware zur Datenlöschung bei mehreren ukrainischen Organisationen im Finanz-, Regierungs-, Luftfahrt- und IT-Sektor entdeckt. Die Malware mit der Bezeichnung „Hermetic“ bestand aus drei verschiedenen Schadprogrammen:

• Wiper: Löscht die Daten im System
• Assistent: Verantwortlich für die Ausbreitung im Netzwerk
• Ransomware: Wird verwendet, um die Aktionen des Wipers zu verschleiern.

Isaac-Malware auch in freier Wildbahn gesichtet

Der dritte Wiper-Angriff fand am Tag der Invasion statt. Die Malware, die als Isaac Wiper bezeichnet wird, ist Berichten zufolge weitaus weniger ausgefeilt als die beiden vorherigen Wiper-Varianten, die bei Angriffen verwendet wurden.

Social-Engineering-Kampagne in Kombination mit SunSeed-Malware

 In den letzten Tagen hat Orca Security von einer neuen Social-Engineering-Kampagne mit dem Namen Asylum Ambuscade erfahren, die sich an Mitarbeiter europäischer Einwanderungsbehörden richtet. Die Kampagne zielt darauf ab, mit der von ProofPoint entdeckten Malware namens SunSeed Informationen über Flüchtlinge zu sammeln.

Hacktivismus und fortlaufende Cyberaktivitäten

Russland ist nicht das einzige Land, das in diesem Konflikt Cyberangriffe durchführt. Hacktivistengruppen nutzen das Internet und damit verbundene Cybertechniken, um zivilen Ungehorsam für eine bestimmte Sache zu leisten. Viele dieser Gruppen haben angekündigt, dass sie ihre Bemühungen jetzt darauf konzentrieren, Russland Schaden zuzufügen und den IT-Betrieb zu stören. So hat beispielsweise das Hackerkollektiv Anonymous der russischen Regierung den Cyberkrieg erklärt. Außerdem hat der ukrainische Vizepremierminister getwittert, er wolle eine IT-Armee aus Freiwilligen aufbauen, die die ukrainische IT-Infrastruktur verteidigen soll.

Eine weitere interessante Geschichte ereignete sich, als der Quellcode der Ransomware Conti und interne Chats veröffentlicht wurden, nachdem die Cybergruppe ihre Unterstützung in Russland bekundet hatte. Die Conti-Ransomware war eine der wirkungsvollsten Ransomwares des Jahres 2021. Diese Veröffentlichung führte zur Entfernung der C&C-Infrastruktur, wodurch die Ransomware beeinträchtigt wurde.

Die Cybersicherheits- und Sicherheitsforschungscommunity, einschließlich des Orca Security Research Pod, beobachtet und verfolgt weiterhin Cyberangriffe als Teil dieses anhaltenden Konflikts. Da Russland und seinen Hacktivisten in der Vergangenheit komplexere Angriffe zugeschrieben wurden, könnten in naher Zukunft weitere Ereignisse im Rahmen dieses Konflikts auftreten. Sobald die Entwicklungen voranschreiten und möglicherweise weitere Gruppen und Forschungsarbeiten hinzukommen, wird Orca Security zeitnah darüber informieren.

Daten und Empfehlungen von Orca Security

In der Zwischenzeit haben viele Sicherheitsanbieter einen deutlichen Anstieg aller Cyberangriffe gemeldet, von Phishing bis DDoS und mehr. Ein „Leak“ dieses Konflikts ist bereits in der Vergangenheit aufgetreten (z. B. mit Not-Petya) und könnte erneut auftreten. Orca Security hat einen Anstieg von über 60 Prozent bei den durchschnittlichen SSH-Brute-Force-Angriffen pro Kunde auf Cloud-Infrastrukturen in den USA festgestellt. Dieser anonymisierte Datensatz aus realen Cloud-Umgebungen vergleicht Daten aus der Woche vom 24. Februar und 2. März mit den Wochen des Vormonats.

Dies kann auf zwei Vorgänge hindeuten, von denen man annimmt, dass sie derzeit auf dem Cyberkriegsschauplatz stattfinden. Erstens suchen russische Hacker nach Rechnern, die „zombifiziert“ und für russische DDoS-Angriffe auf ukrainische Ziele eingesetzt werden können. Orca beobachtete solche Tools bereits in freier Wildbahn. Der Hermetic Wiper, der von Microsoft unter dem Namen FoxBlade bekanntgegeben wurde, ist beispielsweise in der Lage, PCs in DDoS-Zombies zu verwandeln. Zweitens könnten russische Hacker versuchen, in wichtigen westlichen Einrichtungen Fuß zu fassen, um Angriffe wie Datenlöschung oder Datenexfiltration durchzuführen, die den Verbündeten der Ukraine Schaden zufügen und sie in Verlegenheit bringen würden.

Wie können Unternehmen und Institutionen sich schützen?

• Angriffsfläche reduzieren:Über das Internet zugängliche Anlagen stellen eine mögliche Angriffsfläche dar. Es gilt, so wenig Systeme wie möglich freizugeben, sensiblen Konten keine hohen Privilegien einzuräumen und vertrauliche Daten nicht unverschlüsselt zu speichern.
• Sicherheitslücken schließen und Systeme auf dem neuesten Stand halten:Nicht gepatchte Rechner können von einem böswilligen Akteur ausgenutzt werden. Wenn Unternehmen ihre Systeme auf dem neuesten Stand halten, können sie das Risiko einer Fernausnutzung verringern.
• MFA und komplexe Passwörter verwenden:Multi-Faktor-Authentifizierung (MFA) erschwert den unbefugten Zugriff. Systeme mit komplexen Passwörtern sind schwerer zu knacken.
• Protokollierungsdienste verwenden:Protokollierungsdienste werden inzwischen von allen großen Cloudprovidern angeboten und helfen, den Überblick über die Kontoüberwachung zu behalten.