SecurityWorldMarket

14-04-2022

Cyberkrigen i Ukraine - her er metoderne

Det er primært fire metoder, som bliver taget i brug, nemlig overbelastningsangreb, phishing-angreb, hackede hjemmesider og Wiper-malwaren.

Den danske sikkerhedsleverandør Logpoint har analyseret, hvilken slags angreb der bliver brugt i krigen mod Ukraine lige nu. Det er primært fire metoder, som bliver taget i brug, nemlig overbelastningsangreb, phishing-angreb, hackede hjemmesider og Wiper-malwaren. Aktører fra både Rusland og Hviderusland anses for at stå bag angrebene.

Danske Logpoint overvåger løbende de sikkerhedstrusler, der cirkulerer, og har derfor nu samlet en rapport om de mest almindelige sikkerhedsudfordringer i forbindelse med krigen i Ukraine. Disse er hovedsageligt fire forskellige typer angreb:

Disk wipers
Dagen før invasionen af Ukraine blev der opdaget en ny "disk wiper", en type malware, som angreb flere mål i Ukraine. Blandt de berørte er en finansiel operation i Ukraine og to underleverandører til den ukrainske regering, som er baseret i Letland og Litauen. Derudover har forskere fra ESET advaret om, at den samme malware blev installeret på hundredvis af computere rundt omkring i Ukraine. Denne wiper fik navnet "HermeticWiper" og er usædvanlig god til at omgå Windows sikkerhedsfunktioner på angrebne computere. Det kan blandt andet ødelægge filer, så de ikke kan genskabes.

Phishing
En gruppe med base i Minsk i Hviderusland står blandt andet bag phishing-angreb rettet mod ukrainske soldater. Gruppen hedder GhostWriter eller UNC1151 og dem, der er en del af den, er officerer i landets forsvarsministerium. Gruppen er allerede kendt og har siden spredt misinformation om NATO, blandt andet ved at hacke hjemmesider og sende beskeder til falske afsendere. De har også udført påvirknings-aktiviteter forud for valget i Belarus i 2020.

DDoS
Distributed Denial of Service (DDoS)-angreb har til formål at lukke de websteder, der bliver angrebet, ned. Angreb har været i gang i begge retninger i lang tid, men i begyndelsen af februar indledte Rusland en hel række nye angreb. Disse fokuserede på civile mål såsom banker samt forsvarsrelaterede websteder. Angrebene rapporteres at være organiseret af den russiske militære efterretningstjeneste GRU.

Rusland har siden jævnligt fortsat med nye DDoS-angreb. I begyndelsen af marts blev det opdaget, at russiske grupper brugte Danabot, en malware-platform, til at angribe det ukrainske forsvarsministeriums hjemmesider. Forbindelsen mellem disse grupper og den russiske regering er dog uklar.

Hackede hjemmesider
En række ukrainske hjemmesider er blevet hacket, og det kan også være den russiske stat, der står bag. Den russiske stats besked er også blevet set på hackede vestlige hjemmesider. Det ser ofte ud til, at russiske aktivister står bag, men det kan også være en måde at skjule statslig indblanding på. Russiske militærhjemmesider er også blevet angrebet på lignende måde, men af aktører på den anden side af konflikten.

For at undgå at blive ramt af angreb anbefaler Logpoint en række foranstaltninger, herunder at virksomheder bruger Endpoint Detection (EDR), overvåger al fjernadgang, bruger multifaktorautentificering, sikrer at alle sikkerhedsopdateringer udføres, og at der bruges overvågningsværktøjer som SIEM samt værktøjer til at reagere på angreb som SOAR.


Tags


Leverandører
Tilbage til toppen