Siti del governo ucraino interrotti da DDoS, rilevato malware Wiper

Last updated Mar 14, 2023

Il servizio statale ucraino per le comunicazioni speciali e la protezione delle informazioni ha dichiarato che diversi siti Web e banche ufficiali del governo sono stati colpiti da un "massiccio attacco DDoS" mentre il paese si prepara a una potenziale invasione della Russia.

Questo è il secondo attacco ai siti governativi in Ucraina, poiché a gennaio i siti web del Ministero degli Affari Esteri e di altre agenzie governative sono stati presi di mira dagli hacker.

Il Servizio statale per le comunicazioni speciali e la protezione delle informazioni e Netblocks, un'organizzazione che tiene traccia delle interruzioni di Internet in tutto il mondo, hanno confermato che i siti Web del Ministero della Difesa, del Ministero degli Affari Esteri, del Ministero degli Affari Interni, del Servizio di sicurezza (SBU) e del Gabinetto ha subito interruzioni.

Altri obiettivi includono PrivatBank, una delle più grandi istituzioni finanziarie in Ucraina, e Oschadbank, la Cassa di risparmio statale ucraina, entrambe che si occupano di interruzioni.

Il sito Web di PrivatBank era inattivo dopo l'attacco e dava il messaggio sullo schermo "WAF ti sta guardando".

Uno screenshot del messaggio sul sito web di Privatbank dopo l'attacco. (Immagine: Netblocks)

Secondo Cloudflare, attività DDoS rara in Ucraina; tuttavia, c'è stato un aumento dell'attività rispetto alla scorsa settimana.

"Ci sono stati attacchi contro singoli siti Web in Ucraina che sono stati dirompenti… Finora sono stati relativamente modesti rispetto ai grandi attacchi DDoS che abbiamo gestito in passato".

Il Servizio per le comunicazioni speciali e la protezione delle informazioni ha affermato in una dichiarazione che i siti Web di numerose istituzioni e settori governativi in Ucraina hanno subito un massiccio attacco DDoS. Alcuni sistemi non sono ancora disponibili, mentre altri siti web hanno resistito all'attacco e sono tornati online.

"Attualmente, il Servizio statale per le comunicazioni speciali e la protezione delle informazioni dell'Ucraina e altri soggetti del sistema nazionale di sicurezza informatica stanno lavorando per contrastare gli attacchi, raccogliere e analizzare le informazioni", ha affermato la Commissione.

Secondo i ricercatori ESET, nell'attacco ai siti Web ucraini è stato utilizzato un nuovo " malware per la pulizia dei dati" . Secondo il rapporto, il malware è stato installato su centinaia di dispositivi nel paese.

“Il wiper abusa dei driver legittimi del software EaseUS Partition Master per corrompere i dati. Come passaggio finale, il tergicristallo riavvia il computer", ha affermato ESET.

È stato inoltre osservato che in uno dei siti Web presi di mira da malware, il wiper è stato installato tramite l'oggetto Criteri di gruppo predefinito. Significa che gli aggressori avevano già preso il controllo del server Active Directory, il che ha semplificato il rilascio del malware sui dispositivi.

Secondo vari rapporti, l'attacco informatico è iniziato intorno alle 16:00 ora locale, nello stesso momento in cui il parlamento ha avviato la discussione sulla dichiarazione dello stato di emergenza in Ucraina. Mentre le forze russe si sono spostate nelle parti orientali del paese, conquistando due città, il governo ucraino ha imposto uno stato di emergenza di 30 giorni nel paese.

Anche molti funzionari statali sono stati vittime di attacchi informatici. Secondo quanto riportato dai giornalisti locali, il presidente del parlamento, Ruslan Stefanchuk, e la sua famiglia sono stati colpiti da attacchi informatici. Gli hacker hanno fatto numerosi tentativi di entrare nei suoi account di posta elettronica e bloccare le carte bancarie e altro ancora. Il tentativo di accedere al suo account è stato effettuato dalla Russia.

Considerando l'attuale tensione Russia-Ucraina e l'aumento degli attacchi informatici nel paese, le organizzazioni internazionali hanno monitorato da vicino la situazione. L'Ufficio degli esteri, del Commonwealth e dello sviluppo del Regno Unito ha affermato che la direzione principale dell'intelligence russa (GRU) è stata coinvolta nel recente attacco ai siti del governo ucraino.

Anne Neuberger, il vice consigliere per la sicurezza nazionale degli Stati Uniti per la sicurezza informatica, ha affermato che le informazioni tecniche mostrano che "l'infrastruttura GRU è stata vista trasmettere elevati volumi di comunicazioni a indirizzi IP e domini con sede in Ucraina".

Secondo il Computer Emergency Response Team of Ukraine (CERT-UA), i recenti attacchi DDoS hanno utilizzato sia le botnet Mirai che Meris con un'ulteriore campagna di disinformazione via SMS.

Christian Sorensen, un ex leader del team internazionale di guerra informatica presso US Cybercom, ha affermato che lo scopo di questi attacchi DDoS e cyber è quello di aumentare la pressione e la tensione nel paese.

“Non sembra ancora molto d'impatto. Nelle prossime ore/giorni, prevedo più attività per isolare e interrompere i cittadini ucraini e in particolare le attività del governo", ha affermato Sorensen.

Lo scopo principale di tutto questo è causare il caos nel paese e rendere le persone e il governo insicuri sulle loro azioni. Questa è solo la prima fase, poiché la fase successiva potrebbe avere un impatto maggiore e rendere difficile l'interferenza di altri paesi.

Alla luce dell'attuale tensione e minaccia di una potenziale invasione russa dell'Ucraina, il DHS negli Stati Uniti, l' NCSC nel Regno Unito e l' ACSC in Australia hanno avvertito le aziende di rafforzare la propria sicurezza informatica e prepararsi a potenziali attacchi informatici nel caso in cui la NATO interferisse in Ucraina. L'Occidente ha anche imposto sanzioni alla Russia a seguito dell'escalation della crisi ucraina.