Die russische Regierung hat am Donnerstag vor Cyberangriffen auf kritische Infrastrukturbetreiber im Land gewarnt, während die Invasion in der Ukraine in den zweiten Tag geht.
Das russische National Computer Incident Response and Coordination Center warnte nicht nur vor der „Gefahr einer Zunahme der Intensität von Computerangriffen“, sondern erklärte auch, dass die „Angriffe darauf abzielen können, das Funktionieren wichtiger Informationsressourcen und -dienste zu stören und den Ruf zu schädigen, auch zu politischen Zwecken“.
„Jede Störung des Betriebs von Objekten [der kritischen Informationsinfrastruktur], die auf einen nicht zuverlässig feststellbaren Grund zurückzuführen ist, sollte zuallererst als Ergebnis eines Computerangriffs betrachtet werden“, so die Behörde weiter.
Darüber hinaus warnte die Agentur vor möglichen Beeinflussungsversuchen, die darauf abzielen, „ein negatives Bild der Russischen Föderation in den Augen der Weltgemeinschaft zu erzeugen“, und griff damit eine ähnliche Warnung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) von letzter Woche auf, in der es um die Manipulation von Informationen durch ausländische Akteure ging, um kritische Einrichtungen anzugreifen.
Die Behörde gab jedoch keine genaueren Informationen über die Art der Angriffe oder ihre Herkunft bekannt.
Der Hinweis kommt zu einem Zeitpunkt, an dem mehrere Regierungs- und Bankwebseiten in Russland, darunter die des Militärs (mil.ru), des Kremls (kremlin.ru) und der Staatsduma (duma.gov.ru), unerreichbar wurden, während eine Reihe von Cyberangriffen auf die Ukraine stattfand, die zum Einsatz eines Datenwischers namens HermeticWiper auf Hunderten von Rechnern in dem osteuropäischen Land führten.
„Es ist wichtig zu wissen, dass der Wiper hohe Privilegien auf dem kompromittierten Rechner ausnutzt, um den Rechner ‚unbootable‘ zu machen, indem er die Boot-Records und -Konfigurationen überschreibt, Gerätekonfigurationen löscht und Schattenkopien löscht“, sagte Lavi Lazarovitz, Leiter der Sicherheitsforschung bei CyberArk Labs, in einer Erklärung, die The Hacker News vorliegt.
„Der Wiper ist so konfiguriert, dass er Domänencontroller nicht verschlüsselt – das heißt, die Domäne läuft weiter und ermöglicht es der Ransomware, sich mit gültigen Anmeldeinformationen bei Servern zu authentifizieren und diese zu verschlüsseln. Dies zeigt, dass die Bedrohungsakteure kompromittierte Identitäten nutzen, um auf das Netzwerk zuzugreifen und/oder sich seitlich zu bewegen“, so Lazarovitz weiter.
Laut Symantec ist unklar, wie viele Netzwerke von der bisher unbekannten Schadsoftware betroffen sind, die es auf Unternehmen in der Finanz-, Verteidigungs-, Luftfahrt- und IT-Branche abgesehen hat. Das Unternehmen, das sich im Besitz von Broadcom befindet, sagte außerdem, dass es Beweise für Wiper-Angriffe auf Rechner in Litauen beobachtet hat, was auf einen Spillover-Effekt schließen lässt.
Außerdem gibt es Überschneidungen zwischen HermeticWiper und einem anderen Datenwiper namens WhisperGate, von dem im Januar erstmals berichtet wurde, dass er gegen ukrainische Organisationen eingesetzt wurde. Wie die letztgenannte Malware wird auch die neu entdeckte Malware von der Verbreitung einer Ransomware auf den angegriffenen Systemen begleitet.
Bei der Ransomware handelt es sich um eine 64-Bit-EXE-Datei mit einer Größe von 3,14 MB, die in Golang geschrieben wurde, so Chen Erlich, Incident Response Engineer bei Cybereason, der eine erste Analyse der ausführbaren Datei veröffentlichte.
„Es scheint wahrscheinlich, dass die Ransomware als Lockvogel oder Ablenkung von den Wiper-Angriffen verwendet wurde“, so Symantec. „Dies hat einige Ähnlichkeiten mit den früheren WhisperGate Wiper-Angriffen gegen die Ukraine, bei denen der Wiper als Ransomware getarnt war“.
Erste forensische Analysen deuten darauf hin, dass die Angriffe bereits seit mindestens drei Monaten vorbereitet wurden, denn bereits am 12. November 2021 wurden in einem litauischen Unternehmen potenziell bösartige Aktivitäten entdeckt. Außerdem wurde bei einem der HermeticWiper-Samples ein Kompilierungszeitstempel vom 28. Dezember 2021 gefunden.
Während die jüngsten Störmaßnahmen noch nicht offiziell zugeordnet werden können, haben die Regierungen Großbritanniens und der USA die DDoS-Angriffe auf die Ukraine Mitte Februar mit dem russischen Hauptnachrichtendienst (auch bekannt als GRU) in Verbindung gebracht.
Während die Angriffe sowohl in der physischen als auch in der digitalen Welt weitergehen, berichtet Reuters, dass die ukrainische Regierung die Hilfe der Untergrund-Hacker-Gemeinschaft im Land sucht, um Cyber-Infiltrationen abzuwehren, die auf kritische Infrastrukturen abzielen, und verdeckte Spionagemissionen gegen die eindringenden russischen Streitkräfte durchzuführen.