Ukraina valitsuse saite häiris DDoS, tuvastati klaasipuhasti pahavara
Ukraina riiklik erikommunikatsiooni- ja teabekaitseteenistus teatas, et mitut ametlikku valitsuse veebisaiti ja panku tabas "massiline DDoS-rünnak", kuna riik valmistub Venemaa võimalikuks sissetungiks.
Tegemist on teise rünnakuga Ukraina valitsusasutuste saitidele, sest jaanuaris sattusid häkkerite sihikule välisministeeriumi ja teiste valitsusasutuste veebilehed.
Riiklik side- ja teabekaitseteenistus ning Interneti-katkestusi üle maailma jälgiv organisatsioon Netblocks kinnitasid, et kaitseministeeriumi, välisministeeriumi, siseministeeriumi, julgeolekuteenistuse (SBU) ja valitsuskabineti veebisaidid seisnud silmitsi katkestustega.
Muude sihtmärkide hulka kuuluvad Ukraina üks suurimaid finantsasutusi PrivatBank ja Ukraina riiklik hoiupank Oschadbank, mis mõlemad tegelevad katkestustega.
PrivatBanki veebisait oli pärast rünnakut maas ja see andis ekraanile teate "WAF jälgib teid."
Ekraanitõmmis sõnumist Privatbanki veebisaidil pärast rünnakut. (Pilt: Netblocks)
Cloudflare'i andmetel harva DDoS-i tegevust Ukrainas; aktiivsus on aga võrreldes eelmise nädalaga kasvanud.
"Ukrainas on rünnatud üksikute veebisaitide vastu, mis on olnud häirivad… Siiani on need olnud suhteliselt tagasihoidlikud võrreldes suurte DDoS-i rünnakutega, mida oleme varem käsitlenud."
Spetsiaalse side- ja teabekaitseteenistus teatas oma avalduses, et mitmete Ukraina institutsioonide ja valitsussektorite veebisaidid on kannatanud ulatusliku DDoS-i rünnaku all. Mõned süsteemid pole ikka veel saadaval, samas kui teised veebisaidid on rünnakule vastu pidanud ja on taas võrgus.
"Praegu tegelevad Ukraina riiklik side- ja teabekaitse eriteenistus ja teised riikliku küberjulgeolekusüsteemi subjektid rünnakute vastu võitlemise, teabe kogumise ja analüüsimisega," ütles komisjon.
ESET-i teadlaste sõnul kasutati Ukraina veebisaitide rünnakus uut andmepuhastaja pahavara . Aruande kohaselt installiti pahavara riigis sadadesse seadmetesse.
"Pühipuhasti kuritarvitab EaseUS Partition Masteri tarkvara seaduslikke draivereid, et andmeid rikkuda. Viimase sammuna taaskäivitab klaasipuhasti arvuti," ütles ESET.
Lisaks täheldati, et ühel veebisaidil, mis oli sihitud pahavaraga, installiti klaasipuhasti vaike-GPO kaudu. See tähendab, et ründajad olid Active Directory serveri üle juba kontrolli võtnud, mis tegi pahavara seadmetesse pukseerimise lihtsaks.
Erinevatel andmetel sai küberrünnak alguse kella 16 paiku kohaliku aja järgi, samal ajal kui parlament alustas arutelu Ukrainas eriolukorra väljakuulutamise üle. Kui Vene väed liikusid riigi idaosadesse, võttes üle kaks linna, kehtestas Ukraina valitsus riigis 30-päevase erakorralise seisukorra.
Küberrünnakute ohvriks on langenud ka paljud riigiametnikud. Kohalike ajakirjanike teadete kohaselt tabasid küberrünnakud parlamendi esimeest Ruslan Stefantšukit ja tema perekonda. Häkkerid tegid mitmeid katseid tungida tema e-posti kontodele ja blokeerida pangakaarte ja palju muud. Tema kontole sisselogimise katse tehti Venemaalt.
Arvestades praegust Venemaa-Ukraina pinget ja küberrünnakute sagenemist riigis, on rahvusvahelised organisatsioonid olukorda tähelepanelikult jälginud. Ühendkuningriigi välis-, Rahvaste Ühenduse ja arenguamet teatas, et Venemaa luure peadirektoraat (GRU) osales hiljutises rünnakus Ukraina valitsuse saitidele.
USA küberjulgeolekunõuniku asetäitja Anne Neuberger ütles, et tehniline teave näitab, et "GRU taristu edastas suurel hulgal sidet Ukraina-põhistele IP-aadressidele ja domeenidele."
Ukraina Computer Emergency Response Team (CERT-UA) andmetel kasutati hiljutistes DDoS-i rünnakutes nii Mirai kui ka Merise robotvõrke koos täiendava SMS-desinformatsiooni kampaaniaga.
USA Cybercomi rahvusvahelise kübersõja meeskonna endine juht Christian Sorensen ütles, et nende DDoS-i ja küberrünnakute eesmärk on riigis surve ja pingete tekitamine.
"See ei tundu veel eriti mõjuvat. Eeldaksin lähitundidel/päevadel rohkem tegevusi Ukraina kodanike isoleerimiseks ja häirimiseks ning eriti valitsuse tegevust,” ütles Sorensen.
Kõige selle peamine eesmärk on tekitada riigis kaost ning muuta inimesed ja valitsus oma tegudes ebakindlaks. See on alles esimene etapp, kuna järgmine etapp võib olla mõjusam ja raskendada teiste riikide sekkumist.
Seoses praeguste pingetega ja Venemaa võimaliku sissetungi ohuga Ukrainasse on USA DHS, Ühendkuningriigi NCSC ja Austraalia ACSC hoiatanud ettevõtteid suurendama oma küberjulgeolekut ja valmistuma võimalikeks küberrünnakuteks juhuks, kui NATO sekkub Ukrainasse. Samuti on Lääs kehtestanud Venemaa vastu sanktsioone pärast Ukraina kriisi eskaleerumist.