DDoS häiritsee Ukrainan hallituksen sivustoja, Wiper-haittaohjelma havaittu
Ukrainan valtion erityisviestintä- ja tietosuojapalvelu ilmoitti, että useat viralliset hallituksen verkkosivut ja pankit ovat joutuneet "massiiviseen DDoS-hyökkäykseen", kun maa valmistautuu mahdolliseen Venäjän hyökkäykseen.
Tämä on toinen hyökkäys Ukrainan hallituksen sivustoille, sillä tammikuussa ulkoministeriön ja muiden valtion virastojen verkkosivustot joutuivat hakkereiden kohteena.
Valtion erityisviestintä- ja tietosuojapalvelu ja Netblocks, Internet-katkoksia eri puolilla maailmaa tarkkaileva organisaatio, vahvistivat, että puolustusministeriön, ulkoministeriön, sisäasiainministeriön, turvallisuuspalvelun (SBU) ja kabinetin verkkosivustot kohtasi katkoksia.
Muita kohteita ovat PrivatBank, yksi Ukrainan suurimmista rahoituslaitoksista, ja Oschadbank, Ukrainan valtion säästöpankki, jotka molemmat käsittelevät sähkökatkoja.
PrivatBankin verkkosivusto oli poissa käytöstä hyökkäyksen jälkeen, ja se antoi näytölle viestin "WAF tarkkailee sinua".
Kuvakaappaus viestistä Privatbankin verkkosivuilla hyökkäyksen jälkeen. (Kuva: Netblocks)
Cloudflaren mukaan harvinainen DDoS-toiminta Ukrainassa; aktiivisuus on kuitenkin lisääntynyt viime viikkoon verrattuna.
"Ukrainassa on hyökätty yksittäisiä verkkosivustoja vastaan, jotka ovat olleet häiritseviä… Toistaiseksi ne ovat olleet suhteellisen vaatimattomia verrattuna suuriin DDoS-hyökkäyksiin, joita olemme käsitelleet aiemmin."
Viestintä- ja tietosuojapalvelu sanoi lausunnossaan, että useiden Ukrainan instituutioiden ja hallinnonalojen verkkosivustot ovat kärsineet massiivisesta DDoS-hyökkäyksestä. Jotkut järjestelmät eivät ole edelleenkään saatavilla, kun taas toiset sivustot ovat vastustaneet hyökkäystä ja ovat palanneet verkkoon.
"Tällä hetkellä Ukrainan valtion erityisviestintä- ja tietosuojapalvelu ja muut kansallisen kyberturvallisuusjärjestelmän subjektit työskentelevät hyökkäyksiä vastaan, keräävät ja analysoivat tietoja", komissio sanoi.
ESETin tutkijoiden mukaan Ukrainan verkkosivustoja vastaan tehdyssä hyökkäyksessä käytettiin uutta " datanpyyhkijän haittaohjelmaa" . Raportin mukaan haittaohjelma oli asennettu satoihin laitteisiin maassa.
"Pyhin käyttää väärin EaseUS Partition Master -ohjelmiston laillisia ohjaimia korruptoidakseen tietoja. Viimeisenä vaiheena pyyhin käynnistää tietokoneen uudelleen", ESET sanoi.
Lisäksi havaittiin, että yhdellä haittaohjelmien kohteena olevista verkkosivustoista pyyhin asennettiin oletusarvoisen GPO:n kautta. Tämä tarkoittaa, että hyökkääjät olivat jo ottaneet Active Directory -palvelimen hallintaansa, minkä ansiosta haittaohjelmien pudottaminen laitteille oli helppoa.
Eri raporttien mukaan kyberhyökkäys alkoi noin klo 16 paikallista aikaa, samaan aikaan kun eduskunta aloitti keskustelun Ukrainan hätätilan julistamisesta. Kun Venäjän joukot siirtyivät maan itäosiin ja valtasivat kaksi kaupunkia, Ukrainan hallitus määräsi maahan 30 päivän hätätilan.
Myös monet valtion viranomaiset ovat joutuneet kyberhyökkäysten uhreiksi. Paikallisten toimittajien mukaan kyberhyökkäysten kohteeksi joutuivat parlamentin puheenjohtaja Ruslan Stefanchuk ja hänen perheensä. Hakkerit yrittivät useaan otteeseen murtautua hänen sähköpostitileihinsä ja estää pankkikortit ja paljon muuta. Hänen tililleen yritettiin kirjautua Venäjältä.
Ottaen huomioon Venäjän ja Ukrainan nykyisen jännitteen ja kyberhyökkäysten lisääntymisen maassa, kansainväliset järjestöt ovat seuranneet tilannetta tiiviisti. Ison-Britannian ulko-, kansainyhteisö- ja kehitysvirasto sanoi, että Venäjän tiedusteluosasto (GRU) oli mukana äskettäisessä hyökkäyksessä Ukrainan hallituksen sivustoja vastaan.
Anne Neuberger, Yhdysvaltain kansallisen turvallisuuden apulaisneuvonantaja kyberasioissa, sanoi, että tekniset tiedot osoittavat, että "GRU-infrastruktuurin nähtiin välittävän suuria määriä viestintää Ukrainassa sijaitseviin IP-osoitteisiin ja -alueisiin".
Ukrainan Computer Emergency Response Team (CERT-UA) mukaan äskettäiset DDoS-hyökkäykset käyttivät sekä Mirai- että Meris-botnet-verkkoja ylimääräisen tekstiviestien disinformaatiokampanjan yhteydessä.
Christian Sorensen, entinen US Cybercomin kansainvälisen kybersotaryhmän johtaja, sanoi, että näiden DDoS- ja kyberhyökkäysten tarkoituksena on lisätä painetta ja jännitteitä maassa.
"Se ei kuulosta vielä suurelta vaikutukselta. Tulevina tunteina/päivinä odotan lisää toimia Ukrainan kansalaisten eristämiseksi ja häiritsemiseksi ja erityisesti hallituksen toiminnan, Sorensen sanoi.
Kaiken tämän päätarkoituksena on aiheuttaa kaaosta maassa ja saada ihmiset ja hallitus epävarmaksi toimistaan. Tämä on vasta ensimmäinen vaihe, sillä seuraava vaihe saattaa olla vaikuttavampi ja vaikeuttaa muiden maiden puuttumista asiaan.
Nykyisen jännityksen ja Venäjän mahdollisen Ukrainan hyökkäyksen uhan valossa DHS Yhdysvalloissa, NCSC Isossa-Britanniassa ja ACSC Australiassa ovat varoittaneet yrityksiä tehostamaan kyberturvallisuuttaan ja varautumaan mahdollisiin kyberhyökkäuksiin, jos Nato puuttuu Ukrainaan. Länsi on myös määrännyt Venäjää vastaan pakotteita Ukrainan kriisin kärjistymisen jälkeen.