乌克兰遭遇多重立体网络攻击

本周四上午,俄罗斯开始入侵乌克兰,正如此前预测的那样,物理攻击之前伴随着网络攻击:

  • 对乌克兰政府机构和银行的网站发起了新的DDoS攻击;
  • 在乌克兰计算机以及拉脱维亚和立陶宛的计算机上发现了新的数据擦除恶意软件;
  • 研究人员已经确定了一个Web服务托管了许多乌克兰政府网站和总统办公室主网页的克隆副本,其中包含恶意软件。

此外,英国国家网络安全中心(NCSC)和美国网络安全和基础设施安全局(CISA)发布了有关针对网络设备的新恶意软件的详细信息,他们将其归咎于Sandworm(又名BlackEnergy),这些机构之前曾将威胁行为归因于俄罗斯GRU的特殊技术主要中心GTsST。

目前已经监测到的针对乌克兰的网络攻击主要有DDoS、数据擦除器、克隆网站和恶意软件四大类:

地毯式DDoS攻击

最新一轮DDoS攻击于周三下午开始。和以前一样,目标是几家乌克兰银行和政府机构的网站,包括乌克兰国防部、外交部、乌克兰议会和乌克兰安全局的网站。下图为网络监测公司Netblocks对本周四乌克兰DDoS攻击的监测数据,可以看出此次攻击与十天前的DDoS攻击相比影响有所下降:

目前除乌克兰安全局外,所有受攻网站都可以访问。指向乌克兰国防部网站的流量首先通过Cloudflare的过滤器。对Privatbank网站的访问也受到阻止bot程序的设置的控制。

一种新的数据擦除器:HermeticWiper

ESET研究人员周三发现了一种在乌克兰使用的新数据擦除恶意软件。

“ESET遥测显示它已安装在该国数百台机器上。这是继今天早些时候针对几个乌克兰网站的DDoS攻击之后的发现。”该公司分享道。

这个被称为HermeticWiper的恶意软件也已被赛门铁克研究人员发现。

根据ESET的说法,该数据擦除器的二进制文件已使用合法的代码签名证书(可能已泄露)进行签名,滥用EaseUS Partition Master软件中的合法驱动程序来破坏数据,然后最终重新启动目标计算机。

“在其中一个目标组织中,擦除器是通过默认(域策略)GPO删除的,这意味着攻击者可能已经控制了Active Directory服务器。”ESET补充道。

乌克兰政府网站被克隆

独立威胁研究人员Snorre Fagerland、Bellingcat和The Insider发现了一个Web服务,托管了许多乌克兰政府网站的克隆副本,该服务“与俄罗斯国家黑客有关的几次网络攻击中发挥了作用”。

“这些克隆网站的创建时间不早于2021年11月,也就是俄罗斯对乌克兰的最新一轮攻击升级开始的时候。”Bellingcat说。

“值得注意的是,乌克兰总统网站的克隆版本被修改为一个包含可点击链接的‘支持总统’活动,一旦点击,就会将恶意软件包下载到用户的计算机上。”

目前还不清楚攻击者如何使用这些克隆网站,不过研究人员发现了与网络钓鱼相关的登录页面复本。

研究人员推测恶意软件的最终目标是破坏数万或数十万乌克兰人的设备并将其用于DDoS攻击,以及窃取社交媒体帐户的凭据,以供将来用于在线虚假信息活动。

“没有证据表明[此网络服务]背后的基础设施和恶意软件被使用或与乌克兰政府机构正在遭受的网络攻击有关。”Bellingcat研究人员指出。

他们还补充说,在过去两个月中,“相同的攻击者通过Discord链接发送了超过35个不同的含有恶意软件的zip文件”,目标是乌克兰各部委和该国核机构的高价值目标。 

Cyclops Blink恶意软件“取代”VPNFilter

NCSC和CISA都发布了有关Cyclops Blink的详细信息,这是一种针对网络设备的新恶意软件,看上去正被Sandworm背后的黑客组织使用。

NCSC表示:“Cyclops Blink似乎是2018年暴露的VPNFilter恶意软件的替代框架,该恶意软件利用了网络设备,主要是小型办公室/家庭办公室(SOHO)路由器和网络附加存储(NAS)设备。”

“到目前为止,攻击者主要将Cyclops Blink部署到WatchGuard[防火墙]设备,但Sandworm很可能能够为其他架构和固件编译恶意软件。”

该恶意软件收集设备信息,将其发送到命令和控制服务器,并能够下载和执行文件,以及在以后获取其他模块。

这个恶意软件最有趣的地方在于它的驻留机制:通过设备的合法固件更新过程(下图)

Cyclops Blink如何通过合法更新实现长期驻留

NCSC指出:“这可以在设备重新启动时实现持久性,并使修复更加困难。”

更多关于Cyclops Blink和入侵指标的技术细节可在此处获得(https://www.ncsc.gov.uk/files/Cyclops-Blink-Malware-Analysis-Report.pdf)。WatchGuard还发布了有关它的常见问题解答、诊断和补救计划以及检测工具。(https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA16S000000SOCGSA4&lang=en_US#About_Botnet

“经过彻底调查后,WatchGuard认为攻击者使用了先前被识别和修补的漏洞,只有在将防火墙设备管理策略配置为允许从互联网进行不受限制的管理访问时才能利用该漏洞。2021年5月开始在软件更新中推出的安全补丁已经完全解决了这个漏洞。”该公司指出。

FBI在2021年11月下旬首次向WatchGuard通报了针对其设备的攻击,因此这种广泛的攻击似乎与乌克兰目前的局势无关。然而,鉴于其所谓的来源,它可能是为在这场军事冲突中可能发生的未来攻击做准备。

接下来会发生什么?

Sophos首席研究科学家Chester Wisniewski指出,信息战是对乌克兰行动的组成部分:

“虚假标记、错误归因、通信中断和社交媒体操纵都是俄罗斯信息战策略的关键组成部分。他们只需要造成足够的延迟、混乱和矛盾,以协助其他同时进行的行动能够达成目标。”

“纵深防御依然是最好的选择,如果攻击的频率和严重性增加,这一点就尤其重要。随着战事的深入,错误和虚假信息的宣传很快就会达到高潮,我们必须脚踏实地,监控我们网络上的任何异常情况。对于这场俄乌冲突,数字入侵的证据可能需要几个月的时间才能浮出水面。”

前一篇2020网络黑灰产犯罪研究报告
后一篇三星上亿部手机曝出严重加密漏洞