Redactie - 25 februari 2022

Digitale aanvallen op Oekraïne: een tijdlijn

Digitale aanvallen op Oekraïne: een tijdlijn image

De afgelopen maand zijn de digitale aanvallen op Oekraïne veel in het nieuws geweest. Een artikel van het NCSC geeft een chronologisch overzicht van de cyberaanvallen en de daaropvolgende publicatie.

Op 21 februari heeft de Oekraïense CERT-UA een website bericht gepubliceerd over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer. Op 23 februari zijn er hevige DDoS-aanvallen uitgevoerd die gericht waren op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar geweest. Het ging daarbij onder andere om de websites van diverse ministeries. Gelijktijdig zijn er meerdere phishingcampagnes waargenomen. 

Op de avond van 23 februari hebben diverse partijen daarnaast melding gemaakt van een nieuwe wiper malware die zij aantroffen op systemen in Oekraïne. Onder andere ESETSymantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

Update 17-02-2022

Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een statement afgegeven over een aanval op websites van diverse overheidspartijen. Hierbij werden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch werd aangegeven dat persoonlijke gegevens van Oekraïense burgers waren gestolen en dat burgers zich moesten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikte over verhoogde rechten binnen de omgeving waardoor de websites konden worden aangepast.

Microsoft publiceerde op 15 januari een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar zowel de defacements als de aanval met de malware gepubliceerd. In dit onderzoek wordt grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

Update 10-02-2022

Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een statement afgegeven over een aanval op websites van diverse overheidspartijen. Hierbij werden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch werd aangegeven dat persoonlijke gegevens van Oekraïense burgers waren gestolen en dat burgers zich moesten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikte over verhoogde rechten binnen de omgeving waardoor de websites konden worden aangepast.

Microsoft publiceerde op 15 januari een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar zowel de defacements als de aanval met de malware gepubliceerd. In dit onderzoek wordt grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

Handelingsperspectief

De aanval met WhisperGate of de andere uitgevoerde aanvallen in Oekraïne hebben niet hebben geleid tot zogeheten “spillover effecten” naar Nederland. Toch is het raadzaam om u te houden aan de basismaatregelen cybersecurity van het NCSC alsmede kennis te nemen van de publicatie van de AIVD en MIVD “Cyberaanvallen door statelijke actoren, zeven momenten om een aanval te stoppen”. Specifiek de basismaatregel “segmenteer netwerken” kan helpen om te voorkomen dat een aanval op een gekoppeld netwerk impact kan hebben op uw organisatie.

Het NCSC blijft de ontwikkelingen volgen en deelt relevante informatie waar mogelijk.

Axians 12/11/2024 t/m 26/11/2024 BN+BW