Cyberangriffe gegen die Ukraine und Russland

Originalartikel von Trend Micro Research

Neben den physischen Kämpfen vor Ort im Krieg zwischen Russland und der Ukraine gibt es mutmaßlich auch Cyberangriffe, die von verschiedenen Einzelpersonen, Bedrohungsakteuren und möglicherweise sogar staatlich unterstützten Gruppen verübt werden. Aufgrund der unterschiedlichen Informationen, die die Runde machen, ist es schwierig, den Wahrheitsgehalt dieser Cyberattacken zu überprüfen, oder gar sie einer bestimmten Person oder Gruppe zuzuordnen. Fehlinformationen lassen sich online leicht verbreiten, und der Anreiz für viele Beteiligte ist groß, dies zu tun, vor allem wenn man bedenkt, welche wichtige Rolle Informationen und Geheimdienste aktuell spielen. Außerdem ist es möglich, dass einige Bedrohungsakteure aus der Situation Kapital schlagen, obwohl sie nicht direkt an dem Konflikt beteiligt sind. Wir haben das ganze Material, dass unser Forschungsteam verifizieren konnte zusammengefasst, um mit einem Überblick Unternehmen bei ihren Schutzmaßnahmen unterstützen zu können.

Bereits am 25. Februar kündigte die Conti Ransomware-Gruppe auf der Conti News Leak Website sowohl ihre „volle Unterstützung“ für die russische Regierung an als auch ihre Absicht zurückzuschlagen, sollte jemand Cyberangriffe gegen Russland organisieren. Wenige Stunden nach der Veröffentlichung dieser Erklärung schwächte die Gruppe ihre Aussage ab, wobei unklar ist, warum. Conti ist eine der professionellsten Gruppen des organisierten Verbrechens und verfügt über spezielle Untergruppen, die mit Abteilungen in einem traditionellen Unternehmen vergleichbar sind. Es ist daher möglich, dass einige Mitglieder mit der ursprünglichen Erklärung der Gruppe nicht einverstanden waren und sich wehrten.

Das Intrusion-Set von Conti, das Trend Micro unter dem Namen Water Goblin beobachtet, ist weiterhin aktiv, während andere etablierte Ransomware-Gruppen ihre Tätigkeit aufgrund von Regierungssanktionen eingestellt haben. Außerdem beobachteten wir seit Anfang Februar 2022 einen sprunghaften Anstieg des Aktivitätsaufkommens der BazarLoader-Malware, die eine wichtige Voraussetzung für Conti-Angriffe ist.

Chats der Conti-Mitarbeiter wurden von einem ukrainischen Sicherheitsforscher geleakt, der Zugang zum Backend des XMPP-Chatservers von Conti hatte. Trend Micro Research fand einige Artefakte, die zur Zuordnung einiger Indicators of Compromise (IOCs) verwendet werden können. Die Nachrichten, die Lösegeldverhandlungen und Bitcoin-Adressen enthielten, können von Sicherheitsunternehmen und Strafverfolgungsbehörden verwendet werden, um die von der Conti-Bande verwendeten Angriffstechniken und -werkzeuge zu identifizieren.

Stormous-Bande unterstützt Russland

Einige der bösartigen Aktivitäten richten sich sowohl gegen die Ukraine als auch gegen Russland, doch viele Gruppen unterstützen nur eine Seite. Die Ransomware-Bande Stormous, die für die Beschädigung von Websites und den Informationsdiebstahl bekannt ist, stellt sich selbst als arabischsprachige Hacker dar. Die Gruppe ist seit 2021 aktiv und hat vor kurzem offiziell ihre Unterstützung für die russische Regierung und ihre Absicht angekündigt, ukrainische Regierungseinrichtungen wie das ukrainische Außenministerium anzugreifen.

Bild 1. Die Ankündigung der Stormous-Gruppe auf Twitter, die Ukraine angreifen zu wollen.

Die Analyse eines Malware-Samples der Gruppe zeigte, dass die Malware dem Angreifer nach der Infiltration ermöglicht, auf verschiedene benutzerdefinierte Payloads zuzugreifen und diese über Remote-Upload und Open-Source-Ressourcen wie Pastebin auf dem betroffenen Server zu verteilen. Die Fähigkeiten der Malware können nur schwer identifiziert werden, da der Angreifer die Ver- und Entschlüsselungs-Keys ändern und die Lösegeldforderungen kopieren kann. Da die Backdoor oder Ransomware des Täters PHP-basiert ist, kann sie außerdem mit minimalem Aufwand geändert werden.

Weitere bemerkenswerte Erkenntnisse

Darüber hinaus sind die Emotet-Botnets (Epoche 4 und 5) seit dem Wiederauftreten von Emotet im November 2021 mit einigen sporadischen Phasen der Inaktivität weiterhin sehr aktiv. Sowohl BazarLoader als auch Emotet legen als Teil ihrer Infektionen der zweiten Stufe weiterhin Cobalt-Strike-Beacons ab. Bezüglich Conti beobachteten wir die regelmäßige Einrichtung einer neuen Command-and-Control (C&C)-Infrastruktur für Cobalt Strike Befehl-Beacons. Es fällt auf, dass wir seit November 2021 noch keinen Conti-Angriff nach einer Emotet-Infektion beobachtet haben.

Eine Momentaufnahme bösartiger Aktivitäten zeigt, wie einige Akteure versuchen, aus der Krise Kapital zu schlagen. Wir haben unsere Daten von Januar und Februar verglichen und festgestellt, dass bösartige URLs und Mails, die versuchen, Nutzer mit dem Thema „Ukraine“ zu ködern, in der zweiten Februarhälfte stark zunahmen.

Bild 2. Bösartige Online- und Mail-Aktivitäten gegen die Ukraine im Februar 2022

Täglich tauchen neue Betrugsversuche und Varianten älterer Bedrohungen auf. In unserem Honeypot fanden wir auch Spam-Mails mit Bezug zur Ukraine, die darauf abzielen, die Situation durch Spenden und andere Betrügereien auszunutzen. Diese Spam-Mails enthalten auch die Ave-Maria-Malware.

Bild 3. Beispiel eines Betrugs, um sich durch den Konflikt zu bereichern.

Berichte des CERT-UA

Weitere Berichte lieferten wertvolle Einblicke in die mutmaßlichen Cyberangriffe. Insbesondere das Computer Emergency Response Team of Ukraine oder CERT-UA veröffentlichte wichtige Details zu den Angriffen auf ukrainische Ziele. Nachfolgend eine Chronik der wichtigsten Angriffe, die von CERT-UA aufgezeichnet wurden.

Feindselige Aktivitäten im Cyberspace werden mit zunehmenden Spannungen wahrscheinlich noch häufiger werden. Gegen die Ukraine gerichtete Cyberangriffe könnten sich auch unbeabsichtigt auf andere Länder ausdehnen und somit nichtsahnende Ziele treffen. Daher ist es wichtig, dass jeder – unabhängig vom geografischen Standort – über Vorfälle in der Ukraine informiert ist.

CERT-UA erklärte, dass zwischen dem 13. und 14. Januar 2022 etwa 70 Websites ukrainischer Regierungsbehörden angegriffen und Website-Inhalte abgeändert und Systeme beschädigt wurden. Als Einfallstore werden Angriffe über die Lieferkette, OctoberCMS (ein von Unternehmen genutztes selbst gehostetes Content-Management-System) und die Log4j-Schwachstelle vermutet. Bei einigen dieser Angriffe wurde das System durch Schadsoftware beschädigt.

Bild 4. Der Infektionsablauf bei einem Angriff mit WhisperGate

WhisperKill ist darauf ausgerichtet, Dateien in verbundenen Laufwerken zu zerstören und umzubenennen. Danach beendet und entfernt die Malware sich selbst. Nähere Einzelheiten beinhaltet der Originalbeitrag.

Am 24. Februar gab es außerdem Reports über eine andere ausgefeiltere Wiper-Malware, HermeticWiper (auch bekannt als FoxBlade), die in der Lage ist, den MBR und Dateien in Laufwerken zu zerstören.

SaintBot 

Im Januar 2022 wurde eine Reihe von Cyberangriffen bekannt, die von Spear-Phishing-Mails ausgingen, die sich als Nachricht des Nationalen Gesundheitsdienstes der Ukraine ausgaben. Den Mails waren ein Dokument und zwei Shortcut-Dateien angehängt, wobei eine davon die OutSteel-Malware über PowerShell herunterlädt und ausführt. Die Malware lädt dann die Schadsoftware SaintBot herunter und führt sie aus. Im Februar 2022 gab es auch Spearphishing-Mails, die als Nachrichten der ukrainischen Polizei getarnt waren und die SaintBot-Malware verbreiten sollten.

SaintBot bleibt inaktiv, wenn der Language Code Identifier (LCID) des infizierten Geräts Russland, Ukraine, Belarus, Armenien, Kasakhstan oder Moldova anzeigt. Die Absicht dahinter ist nicht klar, und bei der Einbeziehung der Ukraine könnte es sich um einen Fehler handeln, da die Spear-Phishing-Mails eindeutig auf die Ukraine abzielen.

Die Malware versucht, die User Account Control (UAC) zu umgehen, indem sie Fodhelper ausnutzt, das von der Windows 10-Plattform eingeführt wurde. Durch die Ausführung von Fodhelper und das Hinzufügen eines Registry-Eintrags kann SaintBot seine eigene Kopie in einem Startordner mit administrativen Rechten ausführen.

Bild 5. Registry-Eintrag, der mithilfe des Missbrauchs von Fodhelper die Umgehung von UAC ermöglicht.

Weitere technische Einzelheiten beinhaltet der Originalbeitrag.

Gamaredon

Gamaredon ist ein Bedrohungsakteur, der angeblich seit 2013 aktiv ist. Im März 2020 wurden Angriffe in Japan beobachtet, die als „Querschläger“ eingestuft wurden. Im November 2021 gab der Inlandsgeheimdienst der Ukraine eine öffentliche Erklärung ab, in der Gamaredon dem Geheimdienst der Russischen Föderation (FSB) zugeschrieben wurde. Der ukrainische Sicherheitsdienst veröffentlichte auch Einzelheiten zu den Angriffsmethoden und eine Abhörstimme. Trend Micro beobachtete ähnliche Angriffsmethoden.

Die Angriffe beginnen mit Spear-Phishing-Mails mit Dokumentdateien, die eine Remote Template Injection verursachen. Technische Einzelheiten zum Angriff finden Interessierte im Originalbeitrag.

Sicherheitsempfehlungen und Best Practices 

  • Vermeiden Sie wenn möglich, Infrastruktur im Internet zu exponieren.
  • Nutzen Sie Mehrfaktorauthentifizierung für alle Konten, nicht nur für die wichtigen.
  • Spielen Sie zeitnah Patches auf, wobei die vom Internet zugängliche Infrastruktur und kritische Systeme wie Domain-Controller priorisiert werden sollten.
  • Aktivieren Sie unverzüglich Maßnahmen zur Reaktion auf Vorfälle, wenn Hinweise auf Aktivitäten von BazarLoader, Emotet und Cobalt Strike vorliegen.

Fazit

Informationen werden aus gegensätzlichen Blickwinkeln gesendet. Und selbst wenn dieselben Fakten korrekt wiedergegeben werden, können die Eindrücke aufgrund unterschiedlicher Perspektiven variieren. Solche Informationen können zu unnötiger Verwirrung und weiterer Spaltung führen. Im Folgenden sind einige Maßnahmen aufgeführt, die unsere Forscher empfehlen, um Informationen so korrekt wie möglich zu verstehen:

  • Gehen Sie sich der Möglichkeit aus, dass die Wahrheit, die wir glauben, Annahmen (Voreingenommenheit) und Fehler enthält.
  • Denken Sie daran, dass wir im Mittelpunkt von Propaganda stehen könnten.
  • Machen Sie sich bewusst, dass es so etwas wie eine völlig neutrale und unparteiische Informationsquelle nicht gibt.
  • Unterscheiden Sie bei Informationen zwischen „Fakten“ und „Meinungen“ oder „Annahmen“.
  • Wenn möglich, machen Sie die Hauptquelle wichtiger Informationen ausfindig machen. Dies ließe sich etwa dadurch bewerkstelligen, dass man die Quelle von zitierten Artikeln überprüft und deren vollständigen Inhalt sowie den Kontext der Aussagen.
  • Nutzen Sie eine verlässliche Informationsquelle, z. B. Artikel, die von mehreren Experten vor der Veröffentlichung geprüft wurden, sowie Artikel, die von Spezialisten geschrieben wurden.

Eine vollständige Liste von IOCs beinhaltet diese Dokument.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.