烏克蘭遭遇多重立體網絡攻擊
本周四上午,俄羅斯開始入侵烏克蘭,正如此前預測的那樣,物理攻擊之前伴隨著網絡攻擊:
- 對烏克蘭政府機構和銀行的網站發起了新的DDoS攻擊;
- 在烏克蘭計算機以及拉脫維亞和立陶宛的計算機上發現了新的數據擦除惡意軟件;
- 研究人員已經確定了一個Web服務托管了許多烏克蘭政府網站和總統辦公室主網頁的克隆副本,其中包含惡意軟件。
此外,英國國家網絡安全中心(NCSC)和美國網絡安全和基礎設施安全局(CISA)發布了有關針對網絡設備的新惡意軟件的詳細信息,他們將其歸咎于Sandworm(又名BlackEnergy),這些機構之前曾將威脅行為歸因于俄羅斯GRU的特殊技術主要中心GTsST。
目前已經監測到的針對烏克蘭的網絡攻擊主要有DDoS、數據擦除器、克隆網站和惡意軟件四大類:
地毯式DDoS攻擊
最新一輪DDoS攻擊于周三下午開始。和以前一樣,目標是幾家烏克蘭銀行和政府機構的網站,包括烏克蘭國防部、外交部、烏克蘭議會和烏克蘭安全局的網站。下圖為網絡監測公司Netblocks對本周四烏克蘭DDoS攻擊的監測數據,可以看出此次攻擊與十天前的DDoS攻擊相比影響有所下降:
目前除烏克蘭安全局外,所有受攻網站都可以訪問。指向烏克蘭國防部網站的流量首先通過Cloudflare的過濾器。對Privatbank網站的訪問也受到阻止bot程序的設置的控制。
一種新的數據擦除器:
HermeticWiper
ESET研究人員周三發現了一種在烏克蘭使用的新數據擦除惡意軟件。
“ESET遙測顯示它已安裝在該國數百臺機器上。這是繼今天早些時候針對幾個烏克蘭網站的DDoS攻擊之后的發現。”該公司分享道。
這個被稱為HermeticWiper的惡意軟件也已被賽門鐵克研究人員發現。
根據ESET的說法,該數據擦除器的二進制文件已使用合法的代碼簽名證書(可能已泄露)進行簽名,濫用EaseUS Partition Master軟件中的合法驅動程序來破壞數據,然后最終重新啟動目標計算機。
“在其中一個目標組織中,擦除器是通過默認(域策略)GPO刪除的,這意味著攻擊者可能已經控制了Active Directory服務器。”ESET補充道。
烏克蘭政府網站被克隆
獨立威脅研究人員Snorre Fagerland、Bellingcat和The Insider發現了一個Web服務,托管了許多烏克蘭政府網站的克隆副本,該服務“與俄羅斯國家黑客有關的幾次網絡攻擊中發揮了作用”。
“這些克隆網站的創建時間不早于2021年11月,也就是俄羅斯對烏克蘭的最新一輪攻擊升級開始的時候。”Bellingcat說。
“值得注意的是,烏克蘭總統網站的克隆版本被修改為一個包含可點擊鏈接的‘支持總統’活動,一旦點擊,就會將惡意軟件包下載到用戶的計算機上。”
目前還不清楚攻擊者如何使用這些克隆網站,不過研究人員發現了與網絡釣魚相關的登錄頁面復本。
研究人員推測惡意軟件的最終目標是破壞數萬或數十萬烏克蘭人的設備并將其用于DDoS攻擊,以及竊取社交媒體帳戶的憑據,以供將來用于在線虛假信息活動。
“沒有證據表明[此網絡服務]背后的基礎設施和惡意軟件被使用或與烏克蘭政府機構正在遭受的網絡攻擊有關。”Bellingcat研究人員指出。
他們還補充說,在過去兩個月中,“相同的攻擊者通過Discord鏈接發送了超過35個不同的含有惡意軟件的zip文件”,目標是烏克蘭各部委和該國核機構的高價值目標。
Cyclops Blink惡意軟件
“取代”VPNFilter
NCSC和CISA都發布了有關Cyclops Blink的詳細信息,這是一種針對網絡設備的新惡意軟件,看上去正被Sandworm背后的黑客組織使用。
NCSC表示:“Cyclops Blink似乎是2018年暴露的VPNFilter惡意軟件的替代框架,該惡意軟件利用了網絡設備,主要是小型辦公室/家庭辦公室(SOHO)路由器和網絡附加存儲(NAS)設備。”
“到目前為止,攻擊者主要將Cyclops Blink部署到WatchGuard[防火墻]設備,但Sandworm很可能能夠為其他架構和固件編譯惡意軟件。”
該惡意軟件收集設備信息,將其發送到命令和控制服務器,并能夠下載和執行文件,以及在以后獲取其他模塊。
這個惡意軟件最有趣的地方在于它的駐留機制:通過設備的合法固件更新過程(下圖)
Cyclops Blink如何通過合法更新實現長期駐留
NCSC指出:“這可以在設備重新啟動時實現持久性,并使修復更加困難。”
更多關于Cyclops Blink和入侵指標的技術細節可在此處獲得(https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf)。WatchGuard還發布了有關它的常見問題解答、診斷和補救計劃以及檢測工具。(https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA16S000000SOCGSA4&lang=en_US#About_Botnet)
“經過徹底調查后,WatchGuard認為攻擊者使用了先前被識別和修補的漏洞,只有在將防火墻設備管理策略配置為允許從互聯網進行不受限制的管理訪問時才能利用該漏洞。2021年5月開始在軟件更新中推出的安全補丁已經完全解決了這個漏洞。”該公司指出。
FBI在2021年11月下旬首次向WatchGuard通報了針對其設備的攻擊,因此這種廣泛的攻擊似乎與烏克蘭目前的局勢無關。然而,鑒于其所謂的來源,它可能是為在這場軍事沖突中可能發生的未來攻擊做準備。
接下來會發生什么?
Sophos首席研究科學家Chester Wisniewski指出,信息戰是對烏克蘭行動的組成部分:
“虛假標記、錯誤歸因、通信中斷和社交媒體操縱都是俄羅斯信息戰策略的關鍵組成部分。他們只需要造成足夠的延遲、混亂和矛盾,以協助其他同時進行的行動能夠達成目標。”
“縱深防御依然是最好的選擇,如果攻擊的頻率和嚴重性增加,這一點就尤其重要。隨著戰事的深入,錯誤和虛假信息的宣傳很快就會達到高潮,我們必須腳踏實地,監控我們網絡上的任何異常情況。對于這場俄烏沖突,數字入侵的證據可能需要幾個月的時間才能浮出水面。”
(來源:@GoUpSec)
