Websites der ukrainischen Regierung durch DDoS gestört, Wiper-Malware erkannt
Der ukrainische Staatsdienst für spezielle Kommunikation und Informationsschutz gab an, dass mehrere offizielle Regierungswebsites und Banken von einem „massiven DDoS-Angriff” getroffen wurden, während sich das Land auf eine mögliche Invasion durch Russland vorbereitet.
Dies ist der zweite Angriff auf Regierungswebsites in der Ukraine, da im Januar Websites des Außenministeriums und anderer Regierungsbehörden von Hackern angegriffen wurden.
Der State Service of Special Communications and Information Protection und Netblocks, eine Organisation, die Internetausfälle auf der ganzen Welt verfolgt, bestätigten, dass Websites des Verteidigungsministeriums, des Außenministeriums, des Innenministeriums, des Sicherheitsdienstes (SBU) und des Kabinetts mit Ausfällen konfrontiert.
Weitere Angriffsziele sind die PrivatBank, eines der größten Finanzinstitute in der Ukraine, und die Oschadbank, die staatliche Sparkasse der Ukraine, die beide mit Ausfällen zu kämpfen haben.
Die Website der PrivatBank war nach dem Angriff nicht erreichbar, und auf dem Bildschirm erschien die Meldung „WAF beobachtet Sie”.
Ein Screenshot der Nachricht auf der Privatbank-Website nach dem Angriff. (Bild: Netblocks)
Laut Cloudflare seltene DDoS-Aktivität in der Ukraine; Im Vergleich zur letzten Woche gab es jedoch eine Zunahme der Aktivität.
„Es gab Angriffe auf einzelne Websites in der Ukraine, die störend waren … Bisher waren sie relativ bescheiden im Vergleich zu großen DDoS-Angriffen, die wir in der Vergangenheit gehandhabt haben.”
Der Dienst für spezielle Kommunikation und Informationsschutz sagte in einer Erklärung, dass Websites einer Reihe von Institutionen und Regierungssektoren in der Ukraine unter einem massiven DDoS-Angriff gelitten haben. Einige Systeme sind immer noch nicht verfügbar, während andere Websites dem Angriff widerstanden haben und wieder online sind.
„Derzeit arbeiten der Staatliche Dienst für besondere Kommunikation und Informationsschutz der Ukraine und andere Subjekte des nationalen Cybersicherheitssystems daran, den Angriffen entgegenzuwirken, Informationen zu sammeln und zu analysieren”, sagte die Kommission.
Laut ESET-Forschern wurde bei dem Angriff auf ukrainische Websites eine neue „ Data Wiper”-Malware verwendet. Dem Bericht zufolge wurde die Malware auf Hunderten von Geräten im Land installiert.
„Der Wiper missbraucht legitime Treiber der EaseUS Partition Master-Software, um Daten zu beschädigen. Als letzten Schritt startet der Wiper den Computer neu”, so ESET.
Es wurde außerdem beobachtet, dass auf einer der Websites, auf die Malware abgezielt wurde, der Wiper über das Standard-GPO installiert wurde. Dies bedeutet, dass die Angreifer bereits die Kontrolle über den Active Directory-Server übernommen hatten, was es einfach machte, die Malware auf Geräten abzulegen.
Verschiedenen Berichten zufolge begann der Cyberangriff gegen 16:00 Uhr Ortszeit, zeitgleich mit der Diskussion über die Ausrufung des Ausnahmezustands in der Ukraine im Parlament. Als russische Truppen in die östlichen Teile des Landes vordrangen und zwei Städte einnahmen, verhängte die ukrainische Regierung einen 30-tägigen Ausnahmezustand über das Land.
Auch viele Staatsbeamte wurden Opfer von Cyberangriffen. Laut Berichten lokaler Journalisten wurden der Vorsitzende des Parlaments, Ruslan Stefanchuk, und seine Familie von Cyberangriffen getroffen. Die Hacker unternahmen zahlreiche Versuche, in seine E-Mail-Konten einzudringen, Bankkarten zu sperren und vieles mehr. Der Versuch, sich in sein Konto einzuloggen, wurde von Russland aus unternommen.
Angesichts der aktuellen Spannungen zwischen Russland und der Ukraine und der Zunahme von Cyberangriffen im Land haben internationale Organisationen die Situation genau beobachtet. Das britische Außen-, Commonwealth- und Entwicklungsamt sagte, dass die russische Hauptnachrichtendirektion (GRU) an dem jüngsten Angriff auf ukrainische Regierungsstellen beteiligt war.
Anne Neuberger, die stellvertretende nationale Sicherheitsberaterin der USA für Cyber, sagte, dass technische Informationen zeigen, dass „die GRU-Infrastruktur bei der Übertragung großer Kommunikationsvolumina an in der Ukraine ansässige IP-Adressen und Domänen beobachtet wurde”.
Laut dem Computer Emergency Response Team of Ukraine (CERT-UA) nutzten die jüngsten DDoS-Angriffe sowohl Mirai- als auch Meris-Botnets mit einer zusätzlichen SMS-Desinformationskampagne.
Christian Sorensen, ein ehemaliger Leiter des Teams für internationale Cyberkriegsführung bei US Cybercom, sagte, dass der Zweck dieser DDoS- und Cyberangriffe darin bestehe, Druck und Spannungen im Land aufzubauen.
„Es klingt noch nicht nach großen Auswirkungen. In den kommenden Stunden/Tagen erwarte ich weitere Aktivitäten zur Isolierung und Störung ukrainischer Bürger und insbesondere Regierungsaktivitäten”, sagte Sorensen.
Der Hauptzweck all dessen ist, Chaos im Land zu verursachen und die Menschen und die Regierung über ihre Handlungen zu verunsichern. Dies ist nur die erste Phase, da die nächste Phase möglicherweise wirkungsvoller ist und es anderen Ländern erschwert, sich einzumischen.
Angesichts der aktuellen Spannungen und der Gefahr einer möglichen russischen Invasion in der Ukraine haben DHS in den USA, NCSC in Großbritannien und ACSC in Australien Unternehmen gewarnt, ihre Cybersicherheit zu erhöhen und sich auf potenzielle Cyberangriffe vorzubereiten, falls die NATO in die Ukraine eingreift. Auch der Westen hat nach der Eskalation der Ukraine-Krise Sanktionen gegen Russland verhängt.