Ruslands cyberaktivitet i Ukraine fortsætter

Wiper-malware fra Rusland kører parallelt med krigen på slagmarken.

FBI og CISA har tilføjet adskillige ’stammer’ af wiper-malware til sin advisory om værktøjer, der bruges til at angribe ukrainske organisationer. Tilføjelserne er kommet dagen efter, at Microsoft observerede næsten 40 destruktive cyberangreb rettet mod hundredvis af systemer i Ukraine. Det skriver The Record.

Wipermalwarestammer hærger

Den første advisory fra FBI og CISA udkom i slutningen af ​​februar, og nu er den altså blevet opdateret med yderligere 'indicators of compromise' for WhisperGate-malwaren og tekniske detaljer for HermeticWiper, IsaacWiper, HermeticWizard og CaddyWiper.

Det fremgår af udgivelsen, at WhisperGate blev brugt under angreb på snesevis af ukrainske regeringshjemmesider i januar. Angiveligt slettes inficerede enheder, selv om der anføres en mulighed for at betale en løsesum.

HermeticWiper er en anden malware, der blev brugt mod ukrainske netværk i februar. HermeticWiper ødelægger ikke kun lokale data. Det beskadiger også master boot record (MBR)-sektionen på en harddisk, hvilket forhindrer computeren i at starte op i operativsystemet efter den tvungne genstart. ESET forklarede, at HermeticWizard er en ormekomponent, der bruges til at sprede HermeticWiper i lokale netværk.

IsaacWiper blev brugt til at angribe organisationer den dag, Rusland begyndte sin invasion. Ifølge Recorded Future er IsaacWiper en destruktiv malware, der overskriver alle fysiske diske og logiske volumener på en computer.

Ifølge The Record er der ingen overlap af kode mellem IsaacWiper, HermeticWiper eller WhisperGate, selv om de alle søger at gøre enheder ubrugelige.

CaddyWiper blev ifølge ESET anvendt første gang den 14. marts og derefter brugt igen under et angreb på et ukrainsk energiselskab den 12. april. Malwaren sletter brugerdata og opdeler information fra alle drev, der er tilsluttet en kompromitteret maskine.

Holdt øje med stammerne siden invasionen

Alle de malware-stammer, som CISA og FBI nævner, er blevet observeret af researchere og bl.a. Microsoft, siden Rusland begyndte sin invasion af Ukraine. Microsoft oplyser fx til The Record, at der er set mindst seks forskellige Rusland-støttede aktører igangsætte mere end 237 operationer mod Ukraine, lige før invasionen begyndte.

Der er også set cyberangreb mod civile mål som et stort tv-selskab den 1. marts; det var samme dag som den russiske hær rettede et missilangreb mod et tv-tårn i Kiev og bekendtgjorde sin hensigt om at ødelægge ukrainske 'desinformations'-mål.

Microsoft siger, at russiske cyberangreb bruges til at understøtte militærets strategiske og taktiske mål, og at det er sandsynligt, at de observerede angreb kun udgør en brøkdel af aktiviteten rettet mod Ukraine. Samtidig understreger Microsoft, at russiske trusselsaktører kan få til opgave at udvide deres destruktive handlinger uden for Ukraine for at rette gengældelse mod de lande, der yder mere militær bistand til Ukraine.

Links:

https://therecord.media/government-and-researchers-keep-us-attention-on-russias-cyber-activity-in-ukraine/

https://www.cisa.gov/uscert/ncas/current-activity/2022/04/28/cisa-and-fb...