Mindestens sechs verschiedene mit Russland verbündete Akteure haben zwischen dem 23. Februar und dem 8. April nicht weniger als 237 Cyberangriffe gegen die Ukraine gestartet, darunter 38 diskrete zerstörerische Angriffe, die Dateien in Hunderten von Systemen in Dutzenden von Organisationen im Land unwiderruflich zerstört haben.
„Die Cyber- und kinetischen Aktionen zielen darauf ab, die ukrainischen Regierungs- und Militärfunktionen zu stören oder zu beeinträchtigen und das Vertrauen der Öffentlichkeit in diese Institutionen zu untergraben“, so die Digital Security Unit (DSU) des Unternehmens in einem Sonderbericht.
Zu den wichtigsten Malware-Familien, die im Rahmen von Russlands unerbittlichen digitalen Angriffen für zerstörerische Aktivitäten eingesetzt wurden, gehören: WhisperGate, HermeticWiper (FoxBlade aka KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake), und Industroyer2.
WhisperGate, HermeticWiper, IssacWiper und CaddyWiper sind allesamt Datenlöscher, die Daten überschreiben und den Rechner nicht mehr starten können, während DoubleZero eine .NET-Malware ist, die Daten löschen kann. DesertBlade, ebenfalls ein Datenlöschprogramm, soll am 1. März gegen eine ungenannte Rundfunkanstalt in der Ukraine eingesetzt worden sein.
SonicVote wiederum ist ein Dateiverschlüsseler, der in Verbindung mit HermeticWiper entdeckt wurde, um die Angriffe als Ransomware-Angriff zu tarnen, während Industroyer2 speziell dafür entwickelt wurde, betriebliche Technologienetzwerke anzugreifen, um kritische industrielle Produktion und Prozesse zu sabotieren.
Microsoft schreibt HermeticWiper, CaddyWiper und Industroyer2 mit mäßiger Sicherheit einem vom russischen Staat gesponserten Akteur namens Sandworm (auch bekannt als Iridium) zu. Die WhisperGate-Angriffe wurden mit einem bisher unbekannten Cluster namens DEV-0586 in Verbindung gebracht, von dem angenommen wird, dass er mit dem russischen Militärgeheimdienst GRU verbunden ist.
Schätzungsweise 32 % der insgesamt 38 zerstörerischen Angriffe richteten sich gegen ukrainische Regierungsorganisationen auf nationaler, regionaler und städtischer Ebene, wobei über 40 % der Angriffe auf Organisationen in kritischen Infrastrukturbereichen des Landes abzielten.
Darüber hinaus beobachtete Microsoft, dass Nobelium, der Bedrohungsakteur, der für den Angriff auf die Lieferkette von SolarWinds im Jahr 2020 verantwortlich gemacht wird, versuchte, in IT-Firmen einzudringen, die Regierungskunden in NATO-Mitgliedsstaaten beliefern, und den Zugang zu nutzen, um Daten von westlichen außenpolitischen Organisationen abzuschöpfen.
Andere bösartige Angriffe umfassen Phishing-Kampagnen, die auf militärische Einrichtungen (Fancy Bear alias Strontium) und Regierungsbeamte (Primitive Bear alias Actinium) abzielen, sowie Datendiebstahl (Energetic Bear alias Bromine) und Aufklärungsoperationen (Venomous Bear alias Krypton).
„Russlands Einsatz von Cyberangriffen scheint stark mit seinen kinetischen Militäroperationen gegen für die Zivilbevölkerung wichtige Dienste und Einrichtungen zu korrelieren und manchmal auch direkt mit ihnen zusammenzuarbeiten“, sagte Tom Burt, Corporate Vice President of Customer Security and Trust.
„Angesichts der Tatsache, dass russische Bedrohungsakteure die militärischen Aktionen widerspiegeln und verstärken, glauben wir, dass die Cyberangriffe mit dem Fortschreiten des Konflikts weiter eskalieren werden. Es ist wahrscheinlich, dass die Angriffe, die wir beobachtet haben, nur einen Bruchteil der Aktivitäten gegen die Ukraine darstellen.“
„Die Zahl der Cyberangriffe in der Ukraine wird in den nächsten sechs Monaten zunehmen“, sagte das russische Cybersicherheitsunternehmen Kaspersky in seiner eigenen Analyse der Offensiven in der Ukraine im letzten Monat. „Während die meisten der aktuellen Angriffe von geringer Komplexität sind – wie DDoS oder Angriffe mit einfachen und minderwertigen Tools – gibt es auch ausgefeiltere Angriffe, und es wird erwartet, dass noch mehr kommen werden.“