NEUIGKEITEN:
Menlo Security kündigt strategische Partnerschaft mit Google an
Menlo Labs verfolgt die russische Invasion in der Ukraine, die nicht nur physisch, sondern auch im Cyberbereich erheblich eskaliert ist. Von zunehmenden Distributed-Denial-of-Service-Angriffen (DDoS), die sowohl die ukrainische Regierung als auch Bankinstitute betrafen, bis hin zu einer neuen Variante der Wiper-Malware namens HermeticWiper, die in der Ukraine entdeckt wurde. Kurz darauf wurde eine neue Runde von Angriffen zur Verunstaltung von Websites beobachtet, die sich auch auf ukrainische und russische Regierungsorganisationen auswirkten.
Historisch gesehen sind alle, wenn es um russische Cyberaktivitäten geht, Freiwild, und wir erwarten einen kontinuierlichen Anstieg der Aktivitäten. Wir gehen mit mäßiger Zuversicht davon aus, dass viele von Russland aus einen Anstieg von Scans, Phishing und anderen Arten von SWAG-Angriffen (Sachen, die wir alle bekommen) auf Ziele außerhalb des Konflikts beobachten könnten. Menlo Labs geht auch mit mäßiger Zuversicht davon aus, dass es eine Zunahme von Betrügereien und Phishing-Kampagnen geben wird, die vorgeben, Spenden für ukrainische Flüchtlinge zu erbitten.
Um Sie über die zunehmenden Cyberaktivitäten aufgrund des Konflikts zwischen Russland und der Ukraine auf dem Laufenden zu halten, werden wir dieses Aktivitätsbulletin auf der Grundlage unserer Analysen und Beobachtungen in der gesamten Geheimdienstgemeinschaft (IC) aktualisieren:
Während Mitglieder der REvil-Ransomware-Bande auf ihre Verurteilung für ihre Rolle beim Angriff auf die Colonial Pipeline 2021 warten, ihre Anwälte haben eine Zusammenarbeit vorgeschlagen zwischen den Cyberkriminellen und den russischen Spezialdiensten im Krieg gegen die Ukraine. Russische Medien berichten auch, dass der russische Bundesgefängnisdienst eine Strategie angekündigt hat, IT-Fachkräfte aus russischen Gefängnissen einzustellen, um für kommerzielle Unternehmen aus der Ferne zu arbeiten.
Russische Hackergruppe Killnet hat einen Cyberangriff gestartet über Litauen als direkte Reaktion auf ihre Entscheidung, den Warentransit nach Kaliningrad zu blockieren. Die Gruppe behauptet, 70% der litauischen Internetinfrastruktur vom Rest des Internets abgeschnitten zu haben, was sich in erster Linie gegen staatliche Einrichtungen, Medienwebsites und Verkehrsinfrastrukturen richtet. Killnet behauptet auch, die Websites der vier litauischen Flughäfen lahmgelegt zu haben.
Hacker von Anonymous haben Websites heruntergefahren für die russische Bundesbehörde für die Überwachung natürlicher Ressourcen, eine Bundesbehörde, die für die rationelle und umweltverträgliche Nutzung natürlicher Ressourcen zuständig ist, Nordavia, eine russische Billigfluggesellschaft, und die Stawropol-Regionalbibliothek für Blinde und Sehbehinderte.
Cyberangriffe auf ukrainische Unternehmen wurden auf vom russischen Staat unterstützte Hackergruppen zurückgeführt. 128 Organisationen in 42 Ländern außerhalb der Ukraine wurden ebenfalls von denselben Gruppen bei Spionageangriffen ins Visier genommen — die USA waren das am häufigsten ins Visier genommene Land. Die Hacks waren in etwa 29% der Fälle erfolgreich, und in einigen Fällen wurden Daten gestohlen.
Anonyme Agenten dePaixportier und BoodaMooda hat eine Vielzahl russischer Websites gehackt, darunter der Föderale Zolldienst Russlands, eine Website einer Zahnklinik in Sankt Petersburg und eine führende russische Anwaltskanzlei. Die Hacker haben 1 Terabyte an Daten von der Anwaltskanzlei auf die DDOSecrets-Website weitergegeben, darunter E-Mails von Anwälten und Mandanten, Gerichtsakten und Kundenlisten.
Anonyme Mitarbeiter haben sich in ein Unternehmen gehackt das mit russischen Militärdrohnen umgeht und geheime Dokumente mit Informationen über Russlands Drohnenpläne und -taktiken gestohlen hat. Zu diesen Dokumenten gehören die Liste der Exporteure und Konkurrenten des Landes in Bezug auf Innovationen in der unbemannten Fahrzeugindustrie sowie militärische Pläne und Dokumente, die von russischen Militärunternehmen und Regierungsquellen gesammelt wurden.
Russland warnte den Westen dass Cyberangriffe auf seine Infrastruktur die Gefahr einer direkten militärischen Konfrontation bergen und dass Versuche, Moskau im Cyberbereich herauszufordern, mit Gegenmaßnahmen beantwortet werden. Das russische Außenministerium machte die USA und die Ukraine für Cyberangriffe auf kritische Infrastrukturen und staatliche Institutionen verantwortlich.
Hochrangige US-Cyberbeamte forderten Unternehmen auf, weiterhin in höchster Alarmbereitschaft zu bleiben für Cyberangriffe im Zusammenhang mit dem russischen Krieg in der Ukraine und erklärt, die Warnungen basieren auf nachrichtendienstlichen Einschätzungen möglicher Angriffe. Russland ist berüchtigt für seine böswilligen Cyberaktivitäten, sei es durch eine staatlich geförderte Einrichtung oder durch kriminell nahestehende Gruppen.
Telefone, die von ukrainischen Beamten benutzt werden wurde ständig von Malware-Angriffen ins Visier genommen, obwohl es keine Hinweise auf einen erfolgreichen Verstoß gab. Hochrangige Vertreter der Europäischen Kommission hatten ihre Telefone zudem mit „Zero-Click“ -Spyware ins Visier genommen, bei der das Opfer nicht eingreifen muss — eine besonders gefürchtete Form des Angriffs. Der stellvertretende Leiter des staatlichen Kommunikationsdienstes der Ukraine lehnte es ab, sich dazu zu äußern, ob es solche Versuche gegen die eigenen Geräte gegeben hatte.
Der anonyme Agent Rootkit_SEC erlangte die Kontrolle über das russische Softwaresystem wird beim Betrieb der Zentralbank der Russischen Föderation (CBR) verwendet, die die Stabilität der russischen Landeswährung, des Rubels, schützt. Der Hacktivist hat nicht nur das System kompromittiert, sondern auch die Daten der Bank durchgesickert. Anonymous hat mehr als 12 Millionen Dateien und E-Mails von Regierungsbehörden, Unternehmen und anderen Websites in Russland durchgesickert.
Anonym hat die Website des belarussischen Innenministeriums abgeschaltet nur wenige Tage, nachdem es mehrere Websites der belarussischen Regierung gesperrt hatte, weil das Land angeblich die russische Invasion in der Ukraine unterstützt hatte. Websites des Bildungsministeriums, des Kommunikationsministeriums, des Justizministeriums, des Nationalen Rechtsinformationszentrums, des Staatlichen Zollausschusses und des Staatskomitees wurden am 29. Mai entfernt.
Die ukrainische IT-Armee — jetzt bestehend aus 270.000 Freiwilligen aus der ganzen Welt — hat über 1.800 russische Online-Ressourcen angegriffen. Zu den erfolgreichsten Fällen der Armee gehören das Hacken von Rutube, die Schließung des russischen nationalen Systems zur Kennzeichnung von Waren und der 1C-Dienst.
General Paul Nakasone bestätigte, dass Die USA führten als Reaktion auf die russische Invasion in der Ukraine eine Reihe von Operationen durch. Die „Hunt Forward“ -Operationen ermöglichten es den USA, ausländische Hacker ausfindig zu machen und ihre Tools zu identifizieren, bevor sie gegen Amerika eingesetzt wurden. Die „Hunt Forward“ -Aktivitäten — die aus Sorge vor russischen Vergeltungsmaßnahmen gegen die USA ins Leben gerufen wurden — waren laut Nakasone ein wirksames Mittel, Amerika und seine Verbündeten zu schützen. Die Aktivitäten wurden rechtmäßig unter vollständiger ziviler Aufsicht über das Militär und im Rahmen einer vom Verteidigungsministerium beschlossenen Politik durchgeführt.
Die ukrainische IT-Armee hat über 800 russische Online-Plattformen angegriffen innerhalb einer Woche, Einstellung der Dienstleistungen bei Banken, Börsen und Versicherungsunternehmen. Durch die Angriffe waren Kunden einer Reihe russischer Banken nicht in der Lage, Online-Banking-Dienste zu nutzen oder Finanztransaktionen mit einem Smartphone abzuwickeln, zwangen russische Börsen, den Zugang zu Kunden im Ausland zu sperren, um den normalen Betrieb wieder aufzunehmen, Mikrokreditdienste einzustellen, Online-Versicherungsdienste zu stören und zwangen den RuStore-Online-Shop, sich nur eine Woche nach dem Start hinter einer Geoblock vor DDoS-Angriffen zu verstecken.
Die Ukraine wird von Estland viel über Cyberabwehr lernen, dessen Cyberabwehrinfrastruktur laut dem Global Cybersecurity Index (GCI) hinter den Vereinigten Staaten und Saudi-Arabien an dritter Stelle der Welt steht. Estland verstärkte seine Verteidigung, nachdem Russland vor 15 Jahren in sie eingedrungen war, und gründete die Cyber Defense League, um die Regierung bei der Bekämpfung von Cyberbedrohungen zu unterstützen. Die Cyber Defense League ist eine Einheit von Freiwilligen, die ihre Zeit damit verbringen, zu üben, was zu tun ist, wenn ein Dienstanbieter durch einen Cyberangriff zum Erliegen kommt.
Die russische Hackergruppe Coldriver hat E-Mails abgefangen und durchgesickert enthält alternative Brexit-Pläne zum „sauberen“ EU-Austrittsabkommen der ehemaligen britischen Premierministerin Theresa May. Coldriver wurde durch technische Indikatoren mit dem Leck in Verbindung gebracht.
Die russische Hackergruppe Killnet nutzte Distributed-Denial-of-Service (DDoS) -Angriffe, um zielen Sie auf Tausende von Websites der italienischen Regierung und der Verkehrsinfrastruktur ab bei dem Versuch, Server zu überlasten, was zu Verzögerungen und Ausfallzeiten führt. Als Reaktion darauf hat die italienische Regierung die Nationale Cybersicherheitsstrategie 2022—2026 auf den Weg gebracht, um die Widerstandsfähigkeit zu stärken, Bedrohungen zu antizipieren, Krisen zu bewältigen und Desinformation entgegenzuwirken.
Der russische Präsident Wladimir Putin sagte dass die Zahl der Cyberangriffe auf Russland seit Beginn des Krieges zugenommen hat und dass Russland seine Verteidigung stärken muss, indem es den Einsatz ausländischer Software und Hardware reduziert und auf inländische Technologie und Ausrüstung umstellt. Putin sagte, Russland sollte die Umstellung vornehmen, da gegen Russland Sanktionen verhängten, die ausländische IT, Software und Produkte einschränken und westliche Anbieter den technischen Support für ihre Geräte in Russland einstellen.
Anonymous Italia und verbündete Hacktivistengruppen bereiten sich darauf vor, ihre „letzte Offensive“ gegen Killnet zu starten als Reaktion auf DDoS-Angriffe gegen Italien — schwere Schäden für Russland werden erwartet. Ziel der Offensive ist es, die prorussische Hackergruppe ein für alle Mal zu versenken. Die italienische Gruppe hat Russland bereits einigen Schaden zugefügt, indem sie die Websites des Kremls und der russischen Satellitenkommunikationsagentur vorübergehend gesperrt hat.
Hacktivisten haben eine Website gestartet das soll zwei russische Beamte per Roboter anrufen und miteinander verbinden, um die Beamten zu verwirren, abzulenken und zu verärgern, während sie versuchen herauszufinden, warum sie miteinander sprechen. Die Website zieht zufällige Telefonnummern aus einer durchgesickerten Liste, die Telefonnummern der russischen Regierung, des Militärs und des Geheimdienstes enthält. Falls Russland versucht, sich zu rächen, ist die Website vor DDoS-Angriffen geschützt.
Hacker der prorussischen Cyberkriminalitätsgruppen Killnet und Legion hat versucht, das Live-Streaming zum Absturz zu bringen des Finales des Eurovision Song Contest und stören die Abstimmung für das ukrainische Orchester, das am Wettbewerb teilnahm. Der DDoS-Angriff auf die Netzwerkinfrastruktur wurde von der italienischen Postpolizei abgewehrt, die Cyberangriffe bekämpft.
Eine Gruppe von Menschenrechtsanwälten und Ermittlern des Human Rights Center der UC Berkeley School of Law beantragte, dass der Internationale Strafgerichtshof (IStGH) in Den Haag beschuldigen russische Hacker wegen Cyberangriffen gegen die Ukraine wegen Kriegsverbrechen. Die Anfrage verwies auf Sandworm, eine Hackergruppe innerhalb des russischen Militärgeheimdienstes GRU, und auf zwei ihrer ungeheuerlichsten Cyberkriegshandlungen: Sandworm verursachte 2015 Stromausfälle gegen Stromversorger in der Ukraine und ein Jahr später in der Hauptstadt, von denen Hunderttausende von Zivilisten betroffen waren. Die Anklage gegen Sandworm wäre der erste Fall von „Cyber-Kriegsverbrechen“, der jemals vom IStGH erhoben wurde — der etablierte Präzedenzfall würde dazu beitragen, Gerechtigkeit für diejenigen zu finden, die durch Sandworms Cyberangriffe geschädigt wurden, und auch zukünftige Cyberangriffe auf zivile Infrastrukturen auf der ganzen Welt abschrecken.
Anonym hat 800.000 durchgesickert Unterlagen von der russischen staatlichen Atomenergieanlage Rosatom, die hauptsächlich mit den Kunden, verbundenen Unternehmen und Verträgen des Atomunternehmens zusammenhängt. Dies ist das zweite Mal in weniger als drei Monaten, dass Anonymous gegen Rosatom verstößt.
Da die Sanktionen der russischen Wirtschaft weiterhin schaden, die Angst vor einem russischen Cyberangriff als Vergeltung steigt. Ein Risiko besteht darin, dass Russland westliche Regierungen als Vergeltung für Cyberangriffe von Hackern der Bürgerwehr gegen Russland angreift — Russland könnte die Unterstützung dieser Vigilanten für die Ukraine fälschlicherweise als ein Produkt der Unterstützung westlicher Regierungen interpretieren und entsprechend angreifen.
Russischer Zahlungsabwickler QIWI wurde gehackt mit 7 Millionen Bankkarten, die von NB65, einem Teil des Hacker-Kollektivs Anonymous, gestohlen wurden. QIWI bestritt die Berichte über eine Kompromittierung, aber NB65 veröffentlichte alle Kartendaten im Internet als Beweis für den Hack.
Die böswillige Cyberaktivität gegen die Ukraine Dazu gehören russische militärische Cyberbetreiber, die mehrere Familien der Wischer-Malware einsetzen, Cyber-Akteure der russischen Regierung, die ukrainische zivile Einrichtungen wie Rettungsdienste, Energie, Verkehr und Kommunikation gefährden, und Russland, das Cyberangriffe auf kommerzielle Satellitenkommunikationsnetzwerke durchführt, um die ukrainische Kommando- und Kontrollinfrastruktur zu stören. Australien verurteilt diese Cyberangriffe nicht nur, sondern berechnet auch Kosten für staatliche oder staatlich geförderte böswillige Akteure, die einen offenen, freien und geschützten Cyberraum untergraben.
Eine gemeinsame Ankündigung der USA, der EU und des Vereinigten Königreichs bestätigte, dass das Hauptziel eines Angriffs auf das amerikanische Satelliten-Internetunternehmen Viasat das ukrainische Militär war, und das britische National Cyber Security Center (NCSC) sagte, es sei „fast sicher“, dass Russland hinter dem Angriff stecke. Viasat stellt kommerziellen und militärischen Kunden Hochgeschwindigkeits-Satelliten-Breitband zur Verfügung. Zehntausende ihrer Terminals wurden bei dem Cyberangriff irreparabel beschädigt, sodass mehrere tausend ukrainische Nutzer keinen Internetzugang mehr hatten. Der Angriff breitete sich auch auf andere Länder aus und schaltete 5800 Windturbinen in Deutschland aus.
Dutzende Terabyte an Daten Informationen von russischen Unternehmen und Regierungsbehörden sind im Rahmen einer breit angelegten Kampagne von pro-ukrainischen Hackern auf niedriger Ebene durchgesickert. Die Hacker haben Millionen von E-Mails der Allrussischen Staatlichen Fernseh- und Rundfunkgesellschaft aus 20 Jahren durchgesickert, und Hunderte Millionen von Dokumenten von Zielen wie der russischen Regierung, dem russischen Kulturministerium, russischen Stromversorgern und der Russisch-Orthodoxen Kirche.
Nachdem ein mutmaßliches Mitglied der russischen Hackergruppe Killnet von der Polizei in Gewahrsam genommen wurde, haben Anführer der Gruppe drohte, alle britischen Krankenhausbeatmungsgeräte abzuschalten wenn das Mitglied nicht freigelassen wurde.
Die USA hat Cyberstreitkräfte nach Litauen geschickt im Zuge der zunehmenden Online-Bedrohungen seit dem Einmarsch Russlands in die Ukraine. Die Teams scannen Netzwerke, helfen Ländern beim Aufbau von Abwehrmaßnahmen und tauschen neue Informationen über Bedrohungen mit Regierungs- und Privatindustriekreisen in den USA aus. Seit 2018 haben diese Cyberteams 28 Missionen in 16 Ländern in mehr als 50 Netzwerken durchgeführt.
Russlands Cyberoffensive in der Ukraine haben möglicherweise ihr volles Potenzial erreicht. Seit Beginn der Invasion haben mindestens sechs Gruppen russischer Hacker etwa 240 Angriffe auf die digitalen Ressourcen der Ukraine durchgeführt. Aufgrund der jüngsten Sanktionen verfügen russische Hacker jedoch über geringere Fähigkeiten und können sich nicht mehr so entwickeln wie zuvor. Russische Hacker sind jedoch immer noch eine gefährliche Macht und üben im Cyberspace starken Druck auf die Ukraine aus.
Die freiwillige „IT-Armee“ der Ukraine von Hackern hat russische Websites offline geschaltet mithilfe von DDoS-Angriffen, darunter russische Online-Zahlungsdienste, Regierungsbehörden, Luftfahrtunternehmen und Lebensmittellieferdienste, alles Ziele, die den Alltag in Russland stören. Die zunehmenden Hackeraktivitäten gehen von Hacktivisten, ukrainischen Streitkräften und Außenstehenden aus der ganzen Welt aus, die dabei geholfen haben, Russland und seine Unternehmen ins Visier zu nehmen. Sowohl Russland als auch die Ukraine haben DDoS genutzt, um sich gegenseitig zu stören, aber die Angriffe gegen Russland waren innovativer und langwieriger — der längste Angriff dauerte mehr als 177 Stunden.
Seit kurz vor der Invasion gab es sechs verschiedene, Russland nahestehende nationalstaatliche Akteure haben mehr als 237 Operationen gestartet gegen die Ukraine. Zu den Cyberkriegsoperationen gehören anhaltende zerstörerische Angriffe, die das Wohlergehen der Zivilbevölkerung gefährden und die Funktionen der ukrainischen Regierung und des Militärs stören. Microsoft verfolgte fast 40 Cyberangriffe, die auf Hunderte von Systemen abzielten — ein Drittel der Angriffe zielte auf ukrainische Regierungsorganisationen auf allen Ebenen ab, während 40% der Angriffe kritische Infrastrukturen betrafen. Russland begann im März 2021 mit der Vorbereitung auf Cyberangriffe, fast ein Jahr bevor Putin den Truppen befahl, in die Ukraine einzumarschieren.
Anonym hat die Website gehackt des Federal Bailiffs Service of Russia (FSSP), einer russischen Bundesbehörde, die als Durchsetzungsbehörde der Justiz dient und für die Sicherheit von Gerichtsbeamten und die Sicherheit in Gerichtsgebäuden verantwortlich ist.
Ein Netzwerk von Bahnarbeitern, Hackern und Sicherheitskräften behinderte Eisenbahnverbindungen verbindet Russland über Weißrussland mit der Ukraine und verwüstet die russischen Versorgungsleitungen. Beim ersten Angriff hackten sich die Cyber-Partisanen, eine Gruppe von im Exil lebenden belarussischen IT-Experten, in den Tagen vor der Invasion in das Computernetzwerk der Eisenbahn ein und bremsten den Schienenverkehr, noch bevor die russischen Truppen die Grenze überquert hatten. Das Eindringen in die Computer des Eisenbahnnetzes war einfach, da die Eisenbahngesellschaft immer noch Windows XP verwendete, eine veraltete Version von Windows, von der bekannt ist, dass sie viele Sicherheitslücken enthielt.
Elon Musks Spacex Starlink-Satellitennetzwerk schnell abgewehrt ein Versuch russischer Angreifer, das Netzwerk in der Ukraine zu blockieren — SpaceX-Ingenieure vereitelten den Versuch, indem sie nur einen Tag nach den ersten Berichten über den Angriff den Code patchten.
Das Informationsaustauschnetzwerk „Five Eyes“, bestehend aus den USA, Großbritannien, Kanada, Australien und Neuseeland, haben davor gewarnt, dass Russland Cyberangriffe erwägt über Länder, die die Ukraine unterstützen, und könnten auch mit Gruppen der Cyberkriminalität zusammenarbeiten, um Angriffe auf Regierungen, Institutionen und Unternehmen zu starten — einige Cyberkriminalitätsgruppen haben kürzlich öffentlich ihre Unterstützung für die russische Regierung zugesagt.
Die jährlichen Cyber-Kriegsspiele der NATO, bekannt als die Locked Shields Exercise, simulieren fiktive Cyberangriffe, gegen die sich Cyberexperten unter Zeitdruck wehren müssen. Die Übung ist für die teilnehmenden Länder von Bedeutung, da sich ihre Cyberabwehreinheiten seit Ausbruch des Krieges in höchster Alarmbereitschaft befinden. Dies gibt ihnen die Möglichkeit, miteinander über Angriffe auf dieselben Technologien zu kommunizieren, die mehrere Regierungen verwenden.
Das Computer-Notfallteam der Ukraine (CERT-UA) hat vor einer Social-Engineering-Kampagne gewarnt entwickelt, um Zimbra-Exploits zu nutzen und die IcedID-Malware zu verbreiten. Die Angriffe, die dem Bedrohungscluster UAC-0041 zugeschrieben werden, beginnen mit einer E-Mail, die ein Microsoft Excel-Dokument enthält. Beim Herunterladen werden Benutzer aufgefordert, Makros zu aktivieren, was zur Bereitstellung von IcedID führt. Die zweite Gruppe von Eindringversuchen gehört zu einem neuen Bedrohungscluster namens UAC-0097. Sie beginnt mit einer E-Mail mit Bildanhängen und einem Content-Location-Header, der auf einen Remote-Server verweist, der JavaScript-Code hostet. Durch das Herunterladen des Bildanhangs wird ein Exploit für eine Zimbra XSS-Sicherheitslücke (CVE-2018-6882) aktiviert. Anschließend wird das injizierte JavaScript verwendet, um die E-Mails der Opfer an eine E-Mail-Adresse weiterzuleiten, die unter der Kontrolle des Bedrohungsakteurs steht.
Energiesektor der Ukraine wurde von der russischen Militärhackergruppe Sandworm ins Visier genommen bei dem Versuch, ihre Infrastruktur herunterzufahren, indem sie Computer infiltrieren, die mit mehreren Unterstationen verbunden sind, und alle ihre Dateien löschen. Obwohl die Malware erfolgreich einige Computer im ukrainischen Energiesektor infiltrierte und sogar Störungen in einer Anlage verursachte, konnte die Bedrohung mithilfe von IT-Mitarbeitern, ukrainischen Geheimdienstmitarbeitern, Microsoft und dem slowakischen Cybersicherheitsunternehmen ESET schnell behoben werden. Die Zusammenarbeit führte zur Entdeckung von Industroyer2, einer neuen Variante der Industroyer-Malware. Zum Glück ging kein Kunde an Strom verloren.
Anonym zielte auf russische Unternehmen ab Aerogas, ein Ingenieurbüro für den russischen Öl- und Gassektor; Petrovsky Fort, dem die größten Bürokomplexe in Sankt Petersburg gehören; und Forest, ein in Russland ansässiges Holzunternehmen. Die Angriffe führten zu durchgesickerten E-Mails im Wert von über 400 GB.
Russlands eigene Ransomware wurde von einer mit Anonym verbundenen Hackergruppe, Network Battalion 65 (NB65), verwendet, um Angriff auf die russische Raumfahrtbehörde Roscosmos erfolgreich. NB65 behauptet, die gestohlenen Dateien zeigen, dass der russische Präsident Wladimir Putin keine Kontrolle mehr über Spionagesatelliten hat. Der Quellcode einer der gestohlenen Dateien bestand zu 66% aus demselben Code wie Conti, einer russischen Ransomware, mit der Millionen von Dollar von den US-amerikanischen und europäischen Krankenhaus- und Gesundheitsdiensten erpresst wurden. NB65 fand den Quellcode von Conti auf VirusTotal und nutzte dann eine modifizierte Version, um in die Weltraumbehörde einzudringen.
Die Chefin der australischen Signaldirektion, Rachel Nobel, warnt davor, dass Russland immer noch ein großes Projekt auf den Weg bringen könnte Cyberangriff auf die Ukraine. Nobel glaubt, dass Russland sich aus Angst davor zurückgehalten hat, was westliche Länder im Gegenzug tun würden.
Eine neue Welle von Cyberangriffen ist Ausrichtung auf Telegram Messenger-Konten. Digitale Plünderer verwenden eine Phishing-Domain, um Nachrichten mit böswilligen Links an die Telegram-Website zu senden und sich unbefugten Zugriff auf Aufzeichnungen zu verschaffen. Die Angriffe (Bedrohungscluster UAC-0094) gehen von Telegram-Nachrichten aus, in denen die Empfänger darauf hingewiesen werden, dass Anmeldungen von einem neuen Gerät in Russland erkannt wurden, und die Benutzer aufgefordert werden, ihre Konten zu bestätigen, indem sie auf einen Link klicken. Der Link fordert das Opfer auf, seine Telefonnummer sowie die Einmalpasswörter einzugeben, die dann von den Bedrohungsakteuren verwendet werden, um die Konten zu kompromittieren.
Laut einem Bericht von haben die USA heimlich Malware weltweit entfernt, um russischen Cyberangriffen vorzubeugen Die New York Times. Das US-Justizministerium und das FBI erhielten geheime Gerichtsbeschlüsse und Unterstützung von Regierungen auf der ganzen Welt und trennten Netzwerke von den eigenen Controllern der G.R.U. Das FBI war in der Lage, in inländische Unternehmensnetzwerke einzudringen und die Schadsoftware zu entfernen, manchmal ohne das Wissen des Unternehmens. Die Malware hätte es Russen ermöglicht, von der G.R.U. kontrollierte Botnetze zu erstellen, obwohl ihre Absicht unklar war.
China ist beschuldigt, die Ukraine gehackt zu haben Tage vor der russischen Invasion — die Angriffe richten sich angeblich auf die Militär- und Nuklearanlagen der Ukraine. Mehr als 600 Websites des Verteidigungsministeriums in Kiew und anderer Institutionen waren Tausenden von Hackerangriffen ausgesetzt.
Die Angriffe haben möglicherweise vor dem Ende der Olympischen Winterspiele begonnen und ihren Höhepunkt am Tag vor dem Grenzübertritt russischer Truppen und Panzer erreicht. Die Angriffe — die sich durch die typischen Werkzeuge und Methoden der Volksbefreiungsarmee auszeichnen könnten — waren angeblich darauf ausgerichtet, Daten zu stehlen und Möglichkeiten zu erkunden, wichtige Verteidigungs- und zivile Infrastrukturen abzuschalten oder zu stören.
Die North Atlantic Treaty Organization (NATO) und andere europäische Militärs waren Ziel der russischen Hackergruppe Coldriver über Phishing-Kampagnen mit Anmeldeinformationen. Für die Kampagnen wurden neu erstellte Gmail-Konten sowie andere E-Mail-Konten außerhalb von GSuite verwendet.
US-Analysten glauben, dass Hacker vom russischen Militärgeheimdienst unterstützt werden Zehntausende von Viasat-Satellitenmodems lahmgelegt in der Ukraine. Eindringlinge nutzten ein falsch konfiguriertes VPN-Gerät aus, um sich Fernzugriff auf das Verwaltungsnetzwerk für den KA-SAT-Satelliten des Unternehmens zu verschaffen. Aus dem Netzwerk heraus sendeten Hacker betrügerische Befehle gleichzeitig an Zehntausende von Modems, um wichtige Datenblöcke im Gerätespeicher zu überschreiben — wodurch sie funktionsunfähig wurden. Der Angriff betraf Nutzer von Polen bis Frankreich und unterbrach den Fernzugriff auf Tausende von Windturbinen in Mitteleuropa
Ein mächtiger Cyberangriff auf die russische Bundesluftverkehrsagentur Rosaviatsia, löschte 65 Terabyte an Daten zusammen mit allen Dokumenten, Dateien, Flugzeugregistrierungsdaten und Server-E-Mails. Aufgrund fehlender Mittel des russischen Finanzministeriums gibt es keine Sicherungskopien von Daten. Es wird vermutet, dass das Hacktivisten-Kollektiv Anonymous den Angriff verübt hat, aber die Gruppe hat den Vorwurf bestritten.
Ukrtelecome, einer von Die größten Internetanbieter der Ukraine und das größte Festnetz-Telekommunikationsunternehmen wurde von einem starken Cyberangriff heimgesucht. Der Angriff, der als der schwerste Cyberangriff seit Beginn der russischen Invasion beschrieben wurde, führte zu Ausfällen im ganzen Land. Nachdem der Angriff neutralisiert war, war Ukrtelecom gezwungen, die Dienste auf die Mehrheit der privaten Nutzer und Geschäftskunden zu beschränken, um die Netzwerkinfrastruktur zu erhalten und den Streitkräften und anderen militärischen Formationen weiterhin Dienstleistungen anbieten zu können.
Das Computer Emergency Response Team (CERT) der Ukraine hat beobachtete eine Spear-Phishing-Kampagne das verwendet eine neue Malware namens DoubleZero. ZIP-Archive, die entdeckt wurden, sind mit „Virus... extrem gefährlich!!!“ gekennzeichnet. PLZ.“ DoubleZero ist ein bösartiges Zerstörerprogramm, das mit der Programmiersprache C# entwickelt wurde.
Die Malware nutzt hauptsächlich zwei Techniken. Im ersten Fall überschreibt sie Inhalte mit Nullblöcken von 4096 Byte (mithilfe von FileStream.Write) oder mithilfe der API-Aufrufe NTFileOpen, NTFSControlFile (Code: FSCTL_SET_ZERO_DATA). Bei dieser Technik werden Windows-Registrierungen — HKCU, HKU, HKLM\ BCD — gelöscht, bevor das infizierte System heruntergefahren wird.
Anonymous stand wieder im Rampenlicht, nachdem es behauptet hatte hat die Zentralbank der Russischen Föderation gehackt. Die Gruppe hat auch Dokumente im Zusammenhang mit dem Hack durchgesickert.
Victor Zhora, stellvertretender Chef des ukrainischen Informationsschutzdienstes, sagte, russische Hacker seien Angriff auf logistische Linien in der Ukraine, einschließlich derer, die Lebensmittel und humanitäre Hilfe bereitstellen. Er wies weiter darauf hin, dass die Angriffe größtenteils erfolglos geblieben sind oder zu geringfügigen Störungen geführt haben.
Präsident Biden aus den Vereinigten Staaten wandte sich an die Nation und wies darauf hin, dass Unternehmen sollten ihre Cyberabwehr verstärken. Der Präsident erwähnte „sich entwickelnde Informationen“, die darauf hindeuten, dass Russland böswillige Cyberaktivitäten gegen amerikanische Unternehmen und kritische Infrastrukturen durchführen könnte.
Russland ist ein dominanter Bedrohungsakteur im Cyberraum, und im weiteren Verlauf des Krieges sollten Unternehmen auf verstärkte und mögliche gezielte Angriffe vorbereitet sein. In dem Bemühen, eine Orientierungshilfe zu geben, wurde die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) gegründet Schilde hoch, ein Ressourcenzentrum, das Einblicke und Empfehlungen für Organisationen bietet.
Die Website der Das russische Ministerium für Notsituationen wurde gehackt. Die Schuldigen haben eine Nachricht über die Zahl der Todesopfer der russischen Armee in der Ukraine veröffentlicht. Mit Hyperlinks versehene Botschaften wie: „Vertraue den russischen Medien nicht — sie lügen dich an“ sowie „Vollständige Informationen über den Krieg in der Ukraine“ und „Russlands Zahlungsunfähigkeit steht unmittelbar bevor“.
EIN kompromittierter ukrainischer Fernsehsender übermittelte eine falsche Kapitulationsankündigung des ukrainischen Präsidenten Volodymyr Zelenskyy. In der Botschaft wurden die Ukrainer aufgefordert, die Kämpfe einzustellen und ihre Waffen abzugeben. Gleichzeitig wurde behauptet, Selenskyj „wolle den Donbass einnehmen“, blieb aber erfolglos, sodass er aus Kiew floh. Selenskyj antwortete auf YouTube und bestätigte, dass es sich um eine falsche Ankündigung handele, und erklärte, die Ukraine werde ihre Waffen nicht abgeben, bis sie den Sieg errungen habe.
EIN neue Website erstellt Die polnische Hacktivistengruppe Squad303 ermöglicht es jedem, zufälligen Russen eine SMS über den Krieg in der Ukraine zu schicken. Das Tool soll Präsident Putins Medienzensur und den eingeschränkten Zugang zu sozialen Medien umgehen, um Durchschnittsbürger zu erreichen. Die Website generiert zufällige WhatsApp-Nummern, die zum Versenden von Nachrichten verwendet werden können. Das Programm nutzt eine Datenbank mit fast 20 Millionen Handynummern, die durch die Kompromittierung einer russischen Datenbank abgerufen wurden. Bisher wurden fast 30 Millionen Nachrichten gesendet.
Neue Wiper-Malware namens „Caddy“ macht in der Ukraine die Runde. Die Malware löscht Benutzerdaten und Partitionsinformationen von allen Laufwerken, die mit einem betroffenen Computer verbunden waren. Dateien sind beschädigt und mit Null-Byte-Zeichen überschrieben, wodurch die Benutzerdaten für immer verloren gehen. Dies ist ein destruktiver Ansatz und hat nichts mit der Gewinnung von Geld zu tun. Caddy ist der dritte Wischer seit Kriegsbeginn, der ukrainische Systeme getroffen hat.
Digitale Plünderer sind die Neuigkeiten nutzen, Aktivität und allgemeine Aufmerksamkeit, die die russische Invasion in der Ukraine auf sich zieht, um ihre schmutzigen Taten zu vollbringen. Online-Hacker sind seit Beginn des Krieges aktiver und nutzen dies als Ablenkung, um ihre Aktivitäten zu intensivieren und mehr Geld zu stehlen, je länger der Konflikt andauert. Es wird erwartet, dass die Finanzdienstleistungsbranche nach den jüngsten Sanktionen gegen Russland ein wichtiges Ziel sein wird.
Nach der Beteiligung des kanadischen Premierministers Justin Trudeau an der Sanktionierung Russlands ist das Land nun Es wird erwartet, dass ein höheres Risiko für Cyberangriffe besteht aus Russland stammend. Aufgrund der Tatsache, dass Russland in der Vergangenheit einige der berüchtigtsten Cyber-Hacking-Gruppen der Welt — darunter Sandworm — beherbergt hat, rechnen kanadische Cybersicherheitsexperten mit unvermeidlichen Cyberangriffen, die darauf zurückzuführen sind, dass Russland Geld zur Bekämpfung der Sanktionen benötigt. Größere Unternehmen mögen vorbereitet sein, aber kleinere Organisationen sollten vorsichtig sein, da fast die Hälfte der kanadischen Kleinunternehmen 2021 einen Cyberangriff erlitten hat, weil sie kein Budget für Cybersicherheit zur Verfügung hatten.
Ein Hacker, dem vorgeworfen wird, dem russischen Militär geholfen zu haben, Anweisungen an die Truppen zu senden, wurde in der Ukraine festgenommen. Der Verdächtige war beschuldigt, Tausende von Anrufen bei russischen Beamten getätigt zu haben und beschuldigt, Textnachrichten an ukrainische Beamte geschickt zu haben, in denen sie aufgefordert werden, sich zu ergeben. Die beschlagnahmte Ausrüstung des Verdächtigen wurde verwendet, um den ukrainischen Mobilfunkverkehr an russische Netzwerke weiterzuleiten.
Anonymous ging zu Twitter, um das zu teilen Namen der russischen Websites, die angegriffen wurden und heruntergebracht, mit Screenshots als Beweis. Zu den Websites gehören Moscow.ru, der russische Föderale Sicherheitsdienst (wichtigste Sicherheitsbehörde Russlands und die wichtigste Nachfolgebehörde des sowjetischen KGB), das Analytische Zentrum für die Regierung der Russischen Föderation, eine russische Denkfabrik für Fragen der sozioökonomischen Entwicklung des Landes) und das Sportministerium der Russischen Föderation. Die Gruppe hat auch eine durchgesickerte Korrespondenz zwischen Putin und dem russischen Verteidigungsminister getwittert, in der Pläne zur Abholzung und zum Verkauf ukrainischer Wälder skizziert werden. Die Gruppe auch hat Rosatom zu Fall gebracht, ein russisches Unternehmen, das das ukrainische Kernkraftwerk Zaporizhzhya beschlagnahmt hat. Die Gruppe hat die Benutzeroberfläche auf der Website geändert, sodass sie nicht mehr zugänglich ist. Sie gaben auch an, Zugang zu Datenmengen erhalten zu haben, die sie der Öffentlichkeit zugänglich machen wollen.
Über 300.000 Personen — viele aus anderen Ländern — haben sich bei einer Telegram-Gruppe namens The angemeldet IT-Armee der Ukraine mit der Absicht, russische Webdienste zu stören. Die Websites des Kremls und der Duma (Russlands Unterhaus des Parlaments) sind seit Beginn der Invasion nur sporadisch verfügbar. Mediendienste, Banken und der Energieriese Gazprom wurden ebenfalls ins Visier genommen.
Ein anonymer Ableger namens GhostSec konnte die Kontrolle über russische Drucker übernehmen und Informationen über den Krieg in der Ukraine darauf drucken. Die Gruppe beschlagnahmte über 100 Drucker der russischen Regierung und des Militärs um die folgende Nachricht zu drucken:
Das ist nicht dein Krieg. Das ist der Krieg Ihrer Regierung. Wir lügen deine Brüder und Schwestern an. Soldaten einiger Militäreinheiten glauben, dass sie in Formation sind. Doch als sie ihr Ziel, nämlich eine Übung, erreichen, treffen sie auf blutrünstige Ukrainer, die sich für die Zerstörung ihres Landes rächen wollen, die Putins Marionetten ihnen zugefügt haben. Einige von ihnen glauben, dass sie in die Geschichte eingehen und die Welt zu einem besseren Ort machen werden, wenn sie an der Invasion der Ukraine teilnehmen. Brüder, öffnet eure Augen. Ehre sei der Ukraine! Gott segne die Ukrainer und Russen. Lassen Sie die russische Regierung das leben, was die Ukrainer jeden Tag leben müssen.
Ein Bedrohungsakteur — NB65 —, der angedeutet hat, dass er auf der Seite der Ukraine steht, ist angeblich durchgesickert Kaspersky-Quellcode. Einigen Twitter-Beiträgen zufolge war dies möglicherweise nur ein Stunt, um Kaspersky IR auf Trab zu halten.
Mehrere Quellen berichteten, dass Hacker bulgarische Medien übernommen um ein Mem zu senden, das der russische Präsident Wladimir Putin nicht mag.
Laut Elon Musk ist Starlink das einzige nichtrussische Kommunikationssystem in Teilen der Ukraine, was es zu einem attraktiven Ziel für russische Hacker. SpaceX konzentriert sich darauf, seine Cyberabwehr nach seinem Starlink-Signale werden gestört.
Der ukrainische Minister für digitale Transformationen, Mykhailo Fedorov, fordert die Unterstützung aller, die über „digitale Fähigkeiten“ verfügen. Federov ist Teil des IT-Militärs der Ukraine, eine Gruppe von zusammengewürfelten Hackern die innerhalb und außerhalb des Landes arbeiten, um Distributed-Denial-of-Service-Angriffe (DDoS) zu koordinieren. Ihre Arbeit hat mehrere Websites russischer Behörden offline geschaltet. Der Zweck dieser Angriffe besteht darin, Russland abzulenken und das Land zu zwingen, die Probleme schnell anzugehen und seine militärischen Anstrengungen umzulenken.
CyberKnown berichtet, dass Lulzsec behauptet, wieder in Aktion zu sein. Dies wird in den kommenden Tagen und Wochen genau beobachtet werden müssen.
Der Guardian berichtet dass Visa und Mastercard angekündigt haben, den Betrieb in Russland nach dem Einmarsch in die Ukraine einzustellen.
Laut darkfeed.io, eine Ransomware-Bande deutet an, dass der Krieg ihren Betrieb stört.
Anonym gab bekannt, dass sie durchgesickerte Informationen zur Netzwerkinfrastruktur für russische industrielle Steuerungssysteme. Dies folgt auf das Durchsickern russischer Militärdaten im Februar.
Ein ESET-Forscher entdeckte eine neue Datenlöschungs-Malware — genannt Isaac Wiper — das wurde gegen ein ukrainisches Regierungsnetzwerk eingesetzt. Die ESET-Telemetrie zeigt, dass es auf Hunderten von Computern im Land installiert wurde. Dies folgt auf einen DDoS-Angriff gegen mehrere ukrainische Websites.
[Der Dialog, den wir während dieses Konflikts zwischen den Bedrohungsakteuren beobachten, ist beispiellos. Bedrohungsakteure haben sich während dieses Konflikts entweder öffentlich auf eine Seite gestellt oder sind neutral geblieben. Wir glauben, dass die Gruppen, die neutral bleiben, nicht nur tun, um weiterhin zahlende Mitgliedsorganisationen zu behalten, sondern auch, um den Frieden zwischen den Mitgliedern der internationalen Gruppe zu wahren. Wir glauben auch, dass es bei einer weiteren Verschärfung des Konflikts zu einer möglichen Unterbrechung der Bedrohungsaktivitäten kommen könnte, da viele die russische Infrastruktur nutzen und viele Bedrohungsakteure russischer Herkunft sind.]
VX-Underground, ein führender Geheimdienst- und Bedrohungsschauspieler, machte kürzlich auf das IC aufmerksam, dass sich die Ransomware-Bande Conti auf die Seite Russlands gestellt hatte. Und zur gleichen Zeit erklärte Anonymous Russland einen digitalen Krieg.
Auf Twitter teilte Anonymous mit, dass sie eine Website der russischen Regierung geschlossen hatten. Später an diesem Tag twitterte VX-Unground, dass ein Conti-Mitglied begonnen habe, interne Dokumente durchsickern zu lassen, mit der Nachricht „F' der russischen Regierung, Ehre sei der Ukraine!“ Das Mitglied gab an, dass die Daten an einige Journalisten und Forscher gesendet wurden, aber jetzt wurden sie veröffentlicht.
Ungefähr zur gleichen Zeit kritisierte LockBit in einem Dark-Web-Forum Conti wegen mangelnder Betriebssicherheit bei der Überprüfung der durchgesickerten Dokumente. LockBit sagte weiter, dass sie Emotet/Trickbot-Quellen kaufen werden (ein Hinweis darauf, dass Conti in der Vergangenheit mit Trickbot zusammengearbeitet hat).
LockBit hat auf ihrer Leak-Seite einen Beitrag veröffentlicht, in dem es heißt, dass sie keine Partei ergreifen, möglicherweise ein weiterer Angriff auf Conti. LockBit ist jedoch nicht allein. Andere Ransomware-Banden erklären ebenfalls, dass sie keine Partei ergreifen werden, und geben an, dass sich ihre „Mitarbeiter“ und verbundenen Unternehmen auf der ganzen Welt befinden.
Nachdem Anonymous am 24. offiziell den digitalen Krieg erklärt hatte, postete er am 26.th die angaben, das russische Staatsfernsehen gehackt zu haben und die wahren Nachrichten über die Geschehnisse in der Ukraine zu übertragen. Auch an diesem Tag behaupteten sie, die russische Militärkommunikation abgefangen zu haben.
Das Das SANS Institute stellte zahlreiche Ressourcen zur Verfügung damit Unternehmen ihre Infrastruktur scannen und Abwehrmaßnahmen gegen bekannte TTPs und Schadsoftware aus Russland aufbauen können. Darüber hinaus hat Cyber Know eine Liste bekannter Gruppen veröffentlicht, die an Cyberaktivitäten im Zusammenhang mit dem Konflikt beteiligt waren.
Laut CrowdStrike wurde Berichten zufolge eine neue Malware-Familie namens WhisperGate gegen ukrainische Ziele eingesetzt. Es wird allgemein berichtet, dass der Vorfall drei einzelne Komponenten beinhaltete, die von demselben Gegner eingesetzt wurden, darunter einen bösartigen Bootloader, der erkannte lokale Festplatten beschädigt, einen Discord-basierten Downloader und einen Dateilöscher. Nach der Infektion hinterlässt der Bedrohungsakteur eine gefälschte Lösegeldforderung. Die Aktivität soll ungefähr zur gleichen Zeit stattgefunden haben, als mehrere Websites der ukrainischen Regierung unkenntlich gemacht wurden.
Sentinel Labs berichtete dass die Threat Intelligence Community begann, eine neue Probe von Wiper-Malware zu beobachten, die in ukrainischen Organisationen im Umlauf war. Bei der Schadsoftware handelt es sich um einen signierten Treiber von Hermetic Digital Ltd. (jetzt gesperrt), mit dem ein Löschprogramm installiert wird, das Windows-Geräte löscht, nachdem nach einem Neustart Schattenkopien gelöscht und MBR manipuliert wurden. Der Wischer wurde HermeticWiper genannt.
Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs, die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI) haben festgestellt, dass der als Sandworm oder Voodoo Bear bekannte Schauspieler eine neue Malware verwendet, die hier als Cyclops Blink bezeichnet wird. Das NCSC, die CISA und das FBI haben den Sandworm-Darsteller zuvor dem Hauptzentrum für Spezialtechnologien (GTSST) des russischen Generalstabs für Nachrichtendienste (GRU) zugeschrieben.
Menlo Labs beobachtet den Konflikt genau und sucht nach neuen Informationen. Obwohl sich diese Angriffe hauptsächlich auf die Ukraine und Russland beschränkten, ist es möglich, dass ähnliche Angriffe zusätzlich zu der verwendeten Malware auch gegen andere Ziele eingesetzt werden könnten.
