Ukraińskie strony rządowe zakłócone przez DDoS, wykryto Wiper Malware
Ukraińska Państwowa Służba Łączności Specjalnej i Ochrony Informacji stwierdziła, że kilka oficjalnych rządowych stron internetowych i banków zostało dotkniętych „zmasowanym atakiem DDoS", ponieważ kraj przygotowuje się do potencjalnej inwazji Rosji.
To już drugi atak na strony rządowe na Ukrainie, gdyż w styczniu strony internetowe Ministerstwa Spraw Zagranicznych i innych agencji rządowych zostały zaatakowane przez hakerów.
Państwowa Służba Specjalnych Komunikacji i Ochrony Informacji oraz Netblocks, organizacja śledząca przerwy w dostępie do Internetu na całym świecie, potwierdziły, że strony internetowe Ministerstwa Obrony, Ministerstwa Spraw Zagranicznych, Ministerstwa Spraw Wewnętrznych, Służby Bezpieczeństwa (SBU) i Gabinetu w obliczu awarii.
Inne cele to PrivatBank, jedna z największych instytucji finansowych na Ukrainie, oraz Oschadbank, ukraiński Państwowy Bank Oszczędnościowy, oba zajmujące się przestojami.
Witryna PrivatBank nie działała po ataku i wyświetlała komunikat „WAF cię obserwuje”.
Zrzut ekranu wiadomości na stronie Privatbank po ataku. (Zdjęcie: Bloki sieciowe)
Według Cloudflare, rzadka aktywność DDoS na Ukrainie; jednak nastąpił wzrost aktywności w porównaniu do zeszłego tygodnia.
„Na Ukrainie miały miejsce ataki na poszczególne strony internetowe, które były destrukcyjne… Do tej pory były stosunkowo skromne w porównaniu z dużymi atakami DDoS, z którymi mieliśmy do czynienia w przeszłości”.
Służba Specjalnych Komunikacji i Ochrony Informacji stwierdziła w oświadczeniu, że strony internetowe wielu instytucji i sektorów rządowych na Ukrainie ucierpiały w wyniku masowego ataku DDoS. Niektóre systemy są nadal niedostępne, podczas gdy inne witryny oparły się atakowi i wróciły do trybu online.
„Obecnie Państwowa Służba Łączności Specjalnej i Ochrony Informacji Ukrainy oraz inne podmioty narodowego systemu cyberbezpieczeństwa pracują nad przeciwdziałaniem atakom, gromadzeniem i analizą informacji” – poinformowała Komisja.
Według badaczy ESET w ataku na strony internetowe Ukrainy wykorzystano nowe „ szkodliwe oprogramowanie do czyszczenia danych”. Według raportu szkodliwe oprogramowanie zostało zainstalowane na setkach urządzeń w kraju.
„Wiper wykorzystuje legalne sterowniki z oprogramowania EaseUS Partition Master w celu uszkodzenia danych. W ostatnim kroku wycieraczka ponownie uruchamia komputer” — powiedział ESET.
Ponadto zaobserwowano, że na jednej ze stron internetowych, które były atakowane przez złośliwe oprogramowanie, wycieraczka została zainstalowana za pośrednictwem domyślnego obiektu GPO. Oznacza to, że osoby atakujące przejęły już kontrolę nad serwerem Active Directory, co ułatwiło upuszczenie szkodliwego oprogramowania na urządzenia.
Według różnych doniesień cyberatak rozpoczął się około godziny 16 czasu lokalnego, w tym samym czasie, gdy parlament rozpoczął dyskusję na temat ogłoszenia stanu wyjątkowego na Ukrainie. Gdy siły rosyjskie przeniosły się do wschodnich części kraju, przejmując dwa miasta, rząd ukraiński wprowadził 30-dniowy stan wyjątkowy w kraju.
Wielu urzędników państwowych padło również ofiarą cyberataków. Według doniesień lokalnych dziennikarzy, przewodniczący parlamentu Ruslan Stefanchuk i jego rodzina zostali zaatakowani przez cyberataki. Hakerzy wielokrotnie próbowali włamać się na jego konta e-mail, zablokować karty bankowe i nie tylko. Próba zalogowania się na jego konto została wykonana z Rosji.
Mając na uwadze obecne napięcie rosyjsko-ukraińskie i nasilenie cyberataków w tym kraju, organizacje międzynarodowe uważnie obserwują sytuację. Brytyjskie Biuro ds. Spraw Zagranicznych, Wspólnoty Narodów i Rozwoju poinformowało, że w niedawny atak na witryny rządu ukraińskiego zamieszana była rosyjska Główna Dyrekcja Wywiadu (GRU).
Anne Neuberger, zastępca doradcy ds. bezpieczeństwa narodowego USA ds. Cyber, powiedziała, że z informacji technicznych wynika, iż „obserwowano, że „infrastruktura GRU przesyłała duże ilości komunikacji do adresów IP i domen na Ukrainie”.
Według Ukraińskiego Zespołu Reagowania na Awarie Komputerowe (CERT-UA), niedawne ataki DDoS wykorzystywały zarówno botnety Mirai, jak i Meris z dodatkową kampanią dezinformacji SMS.
Christian Sorensen, były lider międzynarodowego zespołu ds. cyberwojny w US Cybercom, powiedział, że celem tych DDoS i cyberataków jest budowanie presji i napięcia w kraju.
„Jeszcze nie brzmi to jak duży wpływ. W nadchodzących godzinach/dniach spodziewałbym się większej liczby działań izolujących i zakłócających obywateli Ukrainy, a zwłaszcza działań rządu” – powiedział Sorensen.
Głównym celem tego wszystkiego jest spowodowanie chaosu w kraju i sprawienie, by ludzie i rząd nie byli pewni swoich działań. To dopiero pierwszy etap, ponieważ kolejny etap może mieć większy wpływ i utrudnić innym krajom ingerencję.
W świetle obecnego napięcia i zagrożenia potencjalną rosyjską inwazją na Ukrainę, DHS w USA, NCSC w Wielkiej Brytanii i ACSC w Australii ostrzegły firmy, aby zwiększyły swoje cyberbezpieczeństwo i przygotowały się na potencjalne cyberataki w przypadku ingerencji NATO na Ukrainę. Zachód nałożył także sankcje na Rosję po eskalacji kryzysu na Ukrainie.