Historia cyberataków na Ukrainę – cz. 2
W ostatnich tygodniach nastąpił znaczny wzrost liczby zgłoszonych cyberataków na ukraińskie instytucje, organizacje i szerszą populację. Ukraina nie jest obca celem ataków cybernetycznych, a na poniższej osi czasu przedstawiono najważniejsze dotychczasowe incydenty.
Szczególny niepokój budzi ukierunkowanie na infrastrukturę krytyczną, ponieważ infrastruktura ta ma zasadnicze znaczenie dla przetrwania ludności cywilnej. Ataki na infrastrukturę, taką jak energia, woda, opieka zdrowotna, instytucje finansowe, usługi transportowe i komunikacyjne, mogą mieć katastrofalne skutki dla ludności cywilnej.
13 stycznia 2022 – Ataki wirusa kasującego dane „WhisperGate” na wszystkie sektory
Firma Microsoft zidentyfikowała destrukcyjną operację złośliwego oprogramowania (oznaczoną jako WhisperGate), której celem jest wiele organizacji na Ukrainie. To złośliwe oprogramowanie po raz pierwszy pojawiło się w systemach ofiar na Ukrainie 13 stycznia 2022 r. Ocenia się, że zostało zaprojektowane tak, aby wyglądało jak oprogramowanie ransomware, ale nie miało mechanizmu odzyskiwania okupu i jest przeznaczone do destrukcyjnego wyłączania docelowych urządzeń, a nie do uzyskiwania okupu. Ofiary należą do wielu organizacji rządowych, non-profit i informatycznych.
Skutki jeszcze nie są znane.
14-15 stycznia 2022 – Zmiana treści rządowych stron internetowych – Belarus APT Group – UNC1151
14 stycznia 2022 r. prawosławny Nowy Rok, ponad 70 ukraińskich rządowych stron internetowych zostało zniszczonych za pomocą obrazów politycznych i oświadczenia po rosyjsku, ukraińsku i polsku, po czym tymczasowo przestało działać. Większość witryn została przywrócona w ciągu kilku godzin. Atak sparaliżował znaczną część publicznej infrastruktury cyfrowej rządu, w tym najczęściej używaną witrynę do obsługi usług rządowych online, Diia. Diia odgrywa również rolę w odpowiedzi na koronawirusa na Ukrainie i zachęcaniu do szczepień. Obezwładniła także siedziby Gabinetu Ministrów, ministerstw energii, sportu, rolnictwa, spraw weteranów i ekologii.
Celem takich ataków jest – zdestabilizować sytuację wewnętrzną w kraju i szerzyć chaos społeczeństwie.
15-16 lutego 2022 – Atak DDoS na strony internetowe sektora finansowego i publicznego
Atak DDoS określany jako największy do tej pory na Ukrainie. Wiele ukraińskich stron internetowych zostało wyłączonych z internetu i wpłynęło na strony banków, rządów i wojska. Skala ataków była umiarkowana, a witryny odzyskiwały się w ciągu kilku godzin; przypuszcza się, że zamiarem było wywołanie poczucia paniki.
Skutki:
- Nieosiągalnych było co najmniej 10 ukraińskich stron internetowych, w tym MON, MSZ i dwóch największych banków państwowych.
- Klienci banków zgłaszali problemy z płatnościami online, aplikacjami bankowymi oraz, w bardzo nielicznych przypadkach, z dostępem do bankomatów.
- Ataki te były połączone z fałszywymi wiadomościami SMS wysyłanymi na ukraińskie telefony w celu wywołania paniki
15 lutego 2022 – Spam SMS / kampania dezinformacyjna
Klienci jednego z państwowych banków zaczęli otrzymywać za pośrednictwem wiadomości SMS informacje o awariach technicznych bankomatów. Ukraińska cyberpolicja potwierdziła, że te informacje są fałszywe.
22 lutego-7 marca 2022 Ataki phishingowe i DDoS na cele ukraińskie w sektorze publicznym, wojskowym i informacyjnym – FancyBear/APT28, Ghostwriter/UNC1151, Mustang Panda lub Temp.Hex
FancyBear/APT28, cyberprzestępca przypisywany Rosji, GRU, przeprowadził kilka dużych kampanii phishingowych, wymierzonych w użytkowników ukr.net, UkrNet to ukraińska firma medialna. W dwóch ostatnich kampaniach osoby atakujące wykorzystywały nowo utworzone domeny Blogspot jako początkową stronę docelową, która następnie przekierowywała cele na strony phishingowe z danymi uwierzytelniającymi.
Ghostwriter/UNC1151, białoruski aktor zajmujący się zagrożeniami, prowadził w ciągu ostatniego tygodnia kampanie phishingowe przeciwko polskim i ukraińskim rządom oraz organizacjom wojskowym.
Mustang Panda lub Temp.Hex, chiński aktor zajmujący się zagrożeniami, atakował europejskie podmioty z przynętami związanymi z inwazją ukraińską. Google TAG zidentyfikował złośliwe załączniki o nazwach plików, takich jak „Sytuacja na granicach UE z Ukrainą.zip”, które po pobraniu i uruchomieniu pobierają dodatkowe złośliwe pliki. Celowanie w organizacje europejskie stanowiło odejście od regularnie obserwowanych celów Mustanga Pandy w Azji Południowo-Wschodniej.
Próby DDoS są kontynuowane przeciwko wielu ukraińskim witrynom, w tym Ministerstwu Spraw Zagranicznych, Ministerstwu Spraw Wewnętrznych, a także usługom takim jak Liveuamap, które mają pomagać ludziom w znajdowaniu informacji.
Skutki:
- Narażenie na szwank informacji umożliwiających identyfikację osób
- Ogranicz dostęp do informacji
- Destabilizacja infrastruktury cywilnej
23 lutego 2022 – Atak DDoS na strony internetowe
Strony internetowe kilku ukraińskich banków i departamentów rządowych, w tym Ministerstwa Spraw Zagranicznych, Ministerstwa Obrony, Ministerstwa Spraw Wewnętrznych, Służby Bezpieczeństwa (SBU) i Gabinetu Ministrów stały się niedostępne po dużym ataku DDoS. Większość innych witryn pojawiła się w trybie online w ciągu dwóch godzin od ataku, ale dla innych opóźnienia i awarie trwały do następnego dnia.
23 lutego 2022 – Atak złośliwego oprogramowania „HermeticWiper” na sektor finansowy, prywatny i publiczny
Szereg organizacji na Ukrainie zostało dotkniętych cyberatakiem, infekując setki komputerów. Atak obejmował nowe złośliwe oprogramowanie do usuwania danych, nazwane HermeticWiper — destrukcyjne złośliwe oprogramowanie, które może usuwać lub uszkadzać dane na docelowym komputerze lub sieci. Wycieraczka została wykryta na Ukrainie, Łotwie i Litwie, a jej celem są organizacje finansowe i kontrahenci rządowi. Analiza techniczna wskazuje, że mechanizm ataku został zbudowany co najmniej sześć tygodni przed atakiem.
Uszkodzonych zostało ponad 100 organizacji z sektora finansowego, obronnego, lotniczego i usług IT na Ukrainie.
24 lutego 2022 – Atak DDOS na stronę z wiadomościami
The Kyiv Post donosi, że jego strona była poddawana nieustannym cyberatakom podczas rosyjsko-ukraińskiego konfliktu zbrojnego. Atak DDOS sparaliżował ich systemy i musieli znaleźć alternatywne sposoby publikowania wiadomości, zamieszczając skrócone artykuły na Facebooku, Twitterze i LinkedIn. Pojawiły się problemy logistyczne związane z niedziałającym systemem personelu i znacznie trudniejszą komunikacją między pracownikami.
Była to z pewnością róba ograniczenia dostępu społeczeństwa do aktualnych, wiarygodnych, obiektywnych informacji podczas narastającego konfliktu.
24 lutego 2022 – Atak złośliwego oprogramowania „IsaacWiper” na podmioty rządowe
Firma ESET zidentyfikowała kolejny element czyszczący w ukraińskich sieciach rządowych, który wpływa na organizacje, które nie zostały zaatakowane przez HermeticWiper i nie mają z nim żadnego podobieństwa w kodzie. 25 lutego osoby atakujące upuściły nową wersję IsaacWipera z dziennikami debugowania, co wskazuje, że osoby atakujące nie były w stanie wyczyścić niektórych z zaatakowanych komputerów. Szkodnik był opracowywany/wykorzystywany co najmniej od 19 października 2021 r.
24 lutego 2022 – Kampania phishingowa do sektora publicznego dostarczająca złośliwe oprogramowanie „SunSeed” – najpewniej Belarus APT Group – UNC1151
Zaobserwowano kampanię phishingową z wykorzystaniem konta e-mail członka ukraińskich sił zbrojnych, które mogło zostać skompromitowane, w celu wymierzenia w personel europejskiego rządu zaangażowanych w zarządzanie logistyką uchodźców uciekających z Ukrainy. Naukowcy wskazują, że istniała wyraźna preferencja skierowania do osób, które mają obowiązki związane z transportem, przydzielaniem środków finansowych i budżetowych, administracją i przemieszczaniem się ludności w Europie.
25 lutego 2022 – Cyberatak na posterunek kontroli granicznej
Na ukraińskim posterunku kontroli granicznej doszło do cyberataku polegającego na kasowaniu danych, który spowolnił proces zezwalania uchodźcom na przedostanie się do Rumunii.
25 lutego 2022 – Zaatakowane strony internetowe ukraińskich uniwersytetów – Brazil Threat Actor Group – theMx0nday
Zespół Wordfence zidentyfikował cyberatak na ukraińskie uniwersytety, który zbiegł się z inwazją Rosji na Ukrainę, i spowodował co najmniej 30 skompromitowanych stron internetowych ukraińskich uniwersytetów.
theMx0nday publicznie oświadczył, że wspiera Rosję w konflikcie.
24-25 lutego 2022 – Atak na satelitarny serwis internetowy
Według Orange, sieci „prawie 9 000 abonentów” satelitarnej usługi internetowej świadczonej przez jej spółkę zależną Nordnet we Francji nie ma internetu po „zdarzeniu cybernetycznym” 24 lutego w Viasat, amerykańskim operatorze satelitarnym, którego jest klientem.
Eutelsat, spółka macierzysta serwisu internetowego bigblu, również potwierdziła AFP w piątek, że około jedna trzecia z 40 000 abonentów bigblu w Europie, w Niemczech, Francji, Węgrzech, Grecji, Włoszech i Polsce, została dotknięta awarią Viasat.
W Stanach Zjednoczonych Viasat poinformował w środę, że „cyber-zdarzenie” spowodowało „częściową awarię sieci” dla klientów „na Ukrainie i poza nią” w Europie, którzy polegają na jego satelicie KA-SAT.
28 lutego 2022 – Ataki trojana „Foxblade” (aka HermeticWiper) na sektor publiczny/prywatny i wojsko
24 lutego Microsoft wykrył nową serię ofensywnych i destrukcyjnych cyberataków wymierzonych w infrastrukturę cyfrową Ukrainy. Obejmują one ataki na sektor finansowy, rolnictwo, służby reagowania kryzysowego, pomoc humanitarną oraz organizacje i przedsiębiorstwa sektora energetycznego.
Zgłoszono również cybernetyczne próby kradzieży szerokiego zakresu danych, w tym informacji umożliwiających identyfikację osób (PII) związanych ze zdrowiem, ubezpieczeniami i transportem, a także innych zbiorów danych rządowych.
Microsoft zwrócił uwagę na dobrze zaaranżowaną bitwę toczącą się w ekosystemie informacyjnym, w której amunicją jest dezinformacja, podważająca prawdę i zasiewająca ziarno niezgody i nieufności.
Skutki:
- Trudności w dostępie ludności cywilnej do finansów, żywności i źródeł energii
- Destabilizacja infrastruktury cywilnej
- Dezinformacja
- Narażenie na szwank informacji umożliwiających identyfikację osób
4 marca 2022 – Ataki złośliwego oprogramowania na organizacje pozarządowe
Amazon donosi, że istnieje kilka sytuacji, w których złośliwe oprogramowanie zostało specjalnie skierowane na organizacje charytatywne, organizacje pozarządowe i inne organizacje pomocowe w celu szerzenia zamieszania i powodowania zakłóceń.
Celem jest przerwanie dostaw leków, żywności i odzieży podczas konfliktu zbrojnego.
5 marca – Ataki phishingowe przy użyciu zhakowanych kont
Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ostrzegł przed nowymi atakami phishingowymi wymierzonymi w obywateli poprzez wykorzystanie zhakowanych kont e-mail należących do trzech różnych indyjskich podmiotów w celu złamania ich skrzynek odbiorczych i kradzieży poufnych informacji.
Oprócz zagrożeń dla infrastruktury krytycznej i obiektów cywilnych, cyberataki sieją nieufność i ograniczają dostęp do dokładnych informacji lub rozpowszechniają fałszywe informacje. Mogą również być bardzo destrukcyjne i wywoływać poczucie strachu i niepewności, a nawet prowadzić do ostatecznego i nieodwracalnego przesiedlenia ludzi.
Wobec powyższego trzymamy kciuki za organizacje takie jak Anonymous – ofensywnie odpowiadające na ataki wymierzone w Ukrainę. Niezmiennie żywimy również nadzieję na jak najszybsze zakończenie konfliktu.