Thought Leadership
Das moderne Internet hat die Landschaft der Bedrohungen erheblich verändert. Es hat eine neue Dimension geschaffen, in der Länder und Einzelpersonen alltagskritische Systeme beeinflussen, stören und zerstören können. Vom Kraftwerk bis zur Bank sind alle Systeme gefährdet.
Das Orca Security Research Pod hat die Cyberangriffe, die im Vorfeld des russischen Einmarsches in die Ukraine Ende Februar stattfanden, aktiv verfolgt und verfolgt sie auch weiterhin. Die Cyberangriffe haben mehrere Bedrohungsvektoren kombiniert, darunter Malware, verteilte Denial-of-Service-Angriffe, Social-Engineering-Kampagnen und andere koordinierte Techniken.
Bar Kaduri, Sicherheitsforscher beim Orca Security Research Pod, erläutert:
Die russische Invasion in der Ukraine begann physisch am 24. Februar 2022. Die russische Cyberinvasion in die Ukraine startete jedoch schon vor langer Zeit, mit vielen wichtigen Ereignissen im Laufe der Jahre, wie etwa der Annexion der Krim, bei der viele ukrainische Websites und das Mobilfunknetz abgeschaltet wurden. Danach sorgten zwei große, durch Cyberangriffe verursachte Stromausfälle in den Jahren 2015 und 2016 dafür, dass Hunderttausende im Dunkeln saßen. Der Ransomware-Angriff Non-Petya richtete sich an einem ukrainischen Nationalfeiertag gegen den Finanzsektor des Landes, breitete sich aber von dort aus auf viele Unternehmen in der ganzen Welt aus und hinterließ enorme finanzielle Schäden.
Im November 2021 flammten die Spannungen zwischen der Ukraine und Russland mit russischen Truppen an den Grenzen wieder auf. Zu dieser Zeit veröffentlichte der ukrainische Geheimdienst technische Informationen und Erkenntnisse über die Gamaredon-Gruppe, eine APT-Gruppe, die jahrelang die ukrainische Regierung angegriffen hatte und mit dem russischen Föderalen Sicherheitsdienst in Verbindung stand.
WhisperGate-Malware
Im Januar 2022 – mit dem Fortschritt der Gespräche zwischen den USA, der NATO und der Ukraine – wuchsen die Spannungen zwischen den beiden Ländern. Daraufhin wurde eine starke Zunahme von Cyberangriffen festgestellt und am 13. Januar zum ersten Mal eine zerstörerische Malware einer speziellen Kampagne entdeckt. Die Malware mit dem Namen WhisperGate ist so konzipiert, dass sie wie ein Ransomware-Angriff aussieht, aber keine Möglichkeit zur Wiederherstellung bietet. Sie überschrieb die MBR-Komponente in Windows-Rechnern und lud eine weitere Nutzlast herunter, die alle Dateien aus vordefinierten Pfaden entfernte. Die Dateien wurden nicht vollständig entfernt, was wahrscheinlich von den Angreifern beabsichtigt war, um eher psychologischen Schaden anzurichten.
Laufende Cyberangriffe, die zur Invasion führen
Am 14. Januar 2022 wurden über 70 ukrainische Websites verunstaltet. Der Inhalt der Websites wurde mit dem gleichen Satz „Habt Angst und wartet auf das Schlimmste“ in drei Sprachen geändert: Ukrainisch, Russisch und falsch geschriebenes Polnisch. Am 15. Februar 2022 wurde ein groß angelegter DDoS-Angriff beobachtet, der zwei der größten Banken der Ukraine und mehrere Regierungsseiten lahmlegte. Dieser Angriff wurde als der größte DDoS-Angriff bezeichnet, der jemals in der Ukraine stattgefunden hat.
Hermetic-Malware geht der Invasion im Februar voraus
Nur einen Tag vor der physischen Invasion fanden zwei große Cyberangriffe statt. Der erste war ein großer DDoS-Angriff, der viele Regierungsseiten und Banken lahmlegte. Während dieses Angriffs wurde eine zweite Malware zur Datenlöschung bei mehreren ukrainischen Organisationen im Finanz-, Regierungs-, Luftfahrt- und IT-Sektor entdeckt. Die Malware mit der Bezeichnung „Hermetic“ bestand aus drei verschiedenen Schadprogrammen:
- Wiper: Löscht die Daten im System
- Assistent: Verantwortlich für die Ausbreitung im Netzwerk
- Ransomware: Wird verwendet, um die Aktionen des Wipers zu verschleiern.
Isaac-Malware auch in freier Wildbahn gesichtet
Der dritte Wiper-Angriff fand am Tag der Invasion statt. Die Malware, die als Isaac Wiper bezeichnet wird, ist Berichten zufolge weitaus weniger ausgefeilt als die beiden vorherigen Wiper-Varianten, die bei Angriffen verwendet wurden.
Social-Engineering-Kampagne in Kombination mit SunSeed-Malware
In den letzten Tagen hat Orca Security von einer neuen Social-Engineering-Kampagne mit dem Namen Asylum Ambuscade erfahren, die sich an Mitarbeiter europäischer Einwanderungsbehörden richtet. Die Kampagne zielt darauf ab, mit der von ProofPoint entdeckten Malware namens SunSeed Informationen über Flüchtlinge zu sammeln.
