Door: Redactie - 25 februari 2022 |
De afgelopen maand zijn de digitale aanvallen op Oekraïne veel in het nieuws geweest. Dit artikel geeft een chronologisch overzicht van de cyberaanvallen en de daaropvolgende publicaties.
Op 21 februari heeft de Oekraïense CERT-UA een website bericht gepubliceerd over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer. Op 23 februari zijn er hevige DDoS-aanvallen uitgevoerd die gericht waren op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar geweest. Het ging daarbij onder andere om de websites van diverse ministeries. Gelijktijdig zijn er meerdere phishingcampagnes waargenomen.
Op de avond van 23 februari hebben diverse partijen daarnaast melding gemaakt van een nieuwe wiper malware die zij aantroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.
Op 15 februari vonden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne werden geraakt. Op 15 februari vond ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen zouden hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er zou geen sprake zijn van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.
Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een statement afgegeven over een aanval op websites van diverse overheidspartijen. Hierbij werden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch werd aangegeven dat persoonlijke gegevens van Oekraïense burgers waren gestolen en dat burgers zich moesten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikte over verhoogde rechten binnen de omgeving waardoor de websites konden worden aangepast.
Microsoft publiceerde op 15 januari een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.
Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar zowel de defacements als de aanval met de malware gepubliceerd. In dit onderzoek wordt grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.
Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.
De aanval met WhisperGate of de andere uitgevoerde aanvallen in Oekraïne hebben niet hebben geleid tot zogeheten “spillover effecten” naar Nederland. Toch is het raadzaam om u te houden aan de basismaatregelen cybersecurity van het NCSC alsmede kennis te nemen van de publicatie van de AIVD en MIVD “Cyberaanvallen door statelijke actoren, zeven momenten om een aanval te stoppen”. Specifiek de basismaatregel “segmenteer netwerken” kan helpen om te voorkomen dat een aanval op een gekoppeld netwerk impact kan hebben op uw organisatie.
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.