Oekraïne heeft de verantwoordelijkheid opgeëist voor een cyberaanval die gericht was tegen het Russische staatsmediabedrijf VGTRK en zijn activiteiten verstoorde, volgens rapporten van Bloomberg en Reuters.
Het incident vond plaats in de nacht van 7 oktober, bevestigde VGTRK en omschreef het als een “ongekende hackeraanval”. Er werd echter gezegd dat er “geen noemenswaardige schade” was veroorzaakt en dat alles normaal functioneerde, ondanks pogingen om radio- en tv-uitzendingen te onderbreken.
Dat gezegd hebbende, meldde het Russische mediakanaal Gazeta.ru dat de hackers “alles” van de servers van het bedrijf hadden gewist, inclusief back-ups, daarbij verwijzend naar een anonieme bron.
Een bron vertelde aan Reuters dat “Oekraïense hackers Poetin ‘feliciteerden’ met zijn verjaardag door een grootschalige aanval uit te voeren op de volledig Russische staatstelevisie- en radio-omroep.”
Er wordt aangenomen dat de aanval het werk is van een pro-Oekraïense hackergroep genaamd Sudo rm-RF. De Russische regering heeft sindsdien gezegd dat er een onderzoek naar de aanval gaande is en dat deze “in lijn is met de anti-Russische agenda van het Westen”.
De ontwikkeling vindt plaats te midden van aanhoudende cyberaanvallen gericht op zowel Rusland als Oekraïne tegen de achtergrond van de Russisch-Oekraïense oorlog die in februari 2022 begon.
De Oekraïense Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP) zei in een eind vorige maand gepubliceerd rapport dat het een toename heeft waargenomen in het aantal cyberaanvallen gericht op de veiligheids-, defensie- en energiesectoren, met 1.739 geregistreerde incidenten in de eerste helft. van 2024 bereikt, een stijging van 19% ten opzichte van 1.463 in de voorgaande helft.
Achtenveertig van deze aanvallen worden als kritiek of hoog in ernst beschouwd. Ruim 1.600 incidenten zijn geclassificeerd als middelmatig en 21 zijn als laag in ernst aangemerkt. Het aantal incidenten met kritieke ernst daalde van 31 in de tweede helft van 2023 naar 3 in de eerste helft van 2024.
De afgelopen twee jaar zijn tegenstanders overgestapt van het organiseren van destructieve aanvallen naar het veiligstellen van geheime steunpunten om gevoelige informatie te verkrijgen, aldus het agentschap.
“In 2024 zien we een verschuiving in hun focus naar alles wat direct verband houdt met het strijdtoneel en aanvallen op dienstverleners – gericht op het handhaven van een laag profiel, het behouden van een aanwezigheid in systemen die verband houden met oorlog en politiek”, zegt Yevheniya Nakonechna, hoofd van de afdeling. State Cyber Protection Center van de SSSCIP, aldus.
“Hackers maken niet langer alleen maar misbruik van kwetsbaarheden waar ze maar kunnen, maar richten zich nu op gebieden die cruciaal zijn voor het succes en de ondersteuning van hun militaire operaties.”
De aanvallen worden voornamelijk toegeschreven aan acht verschillende activiteitsclusters, waaronder een aan China gelieerde cyberspionage-acteur, gevolgd als UAC-0027, die werd waargenomen bij het inzetten van een malwaresoort genaamd DirtyMoe om cryptojacking en DDoS-aanvallen uit te voeren.
SSSCIP heeft ook inbraakcampagnes benadrukt die zijn georganiseerd door een door de Russische staat gesponsorde hackgroep genaamd UAC-0184, en wijst op zijn staat van dienst in het initiëren van communicatie met potentiële doelwitten met behulp van berichtenapps zoals Signal met als doel malware te verspreiden.
Een andere bedreigingsacteur die lasergefocust is gebleven op Oekraïne is Gamaredon, een Russische hackploeg die ook bekend staat als Aqua Blizzard (voorheen Actinium), Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530, en Winterbot.
“De intensiteit van het fysieke conflict is merkbaar toegenomen sinds 2022, maar het is de moeite waard om op te merken dat het activiteitenniveau van Gamaredon consistent is gebleven – de groep heeft zijn kwaadaardige middelen methodisch ingezet tegen zijn doelen al lang voordat de invasie begon”, aldus de Slowaakse cybersecurity. zei firma ESET in een analyse.
Opvallend onder de malwarefamilies is een informatiedief genaamd PteroBleed, die ook vertrouwt op een arsenaal aan downloaders, droppers, Weaponizers, backdoors en andere ad-hocprogramma’s om de levering van payloads, data-exfiltratie, externe toegang en verspreiding via aangesloten USB-drives te vergemakkelijken.
“Gamaredon heeft ook blijk gegeven van vindingrijkheid door verschillende technieken in te zetten om netwerkgebaseerde detecties te omzeilen, door gebruik te maken van diensten van derden zoals Telegram, Cloudflare en ngrok”, aldus beveiligingsonderzoeker Zoltán Rusnák. “Ondanks de relatieve eenvoud van zijn instrumenten, maken de agressieve aanpak en doorzettingsvermogen van Gamaredon het tot een aanzienlijke bedreiging.”
