Guvernul rus a avertizat joi asupra atacurilor cibernetice îndreptate împotriva operatorilor interni de infrastructură critică, în contextul în care invazia completă a Ucrainei din această țară intră în a doua zi.
Pe lângă faptul că avertizează cu privire la "amenințarea unei creșteri a intensității atacurilor informatice", Centrul Național de Răspuns și Coordonare a Incidentelor Informatice din Rusia a declarat că "atacurile pot avea ca scop perturbarea funcționării unor resurse și servicii informaționale importante, provocând daune reputaționale, inclusiv în scopuri politice".
"Orice defecțiune în funcționarea obiectelor [infrastructurii critice de informații] din cauza unui motiv care nu este stabilit în mod fiabil, în primul rând, ar trebui considerată ca fiind rezultatul unui atac informatic", a adăugat agenția.
Mai mult, acesta a notificat cu privire la posibile operațiuni de influență întreprinse pentru a "forma o imagine negativă a Federației Ruse în ochii comunității mondiale", reiterând o alertă similară publicată săptămâna trecută de Agenția americană pentru securitate cibernetică și infrastructură (CISA) cu privire la eforturile de manipulare a informațiilor din partea actorilor străini de a lovi entități critice.
entities.
Cu toate acestea, agenția nu a împărtășit mai multe detalii cu privire la natura atacurilor sau proveniența acestora.
Consultanța vine în contextul în care mai multe site-uri guvernamentale și bancare din Rusia, inclusiv cel al militarilor (mil.ru), Kremlinului (kremlin.ru) și Dumei de Stat (duma.gov.ru), au devenit inaccesibile pe fondul unei serii de ofensive cibernetice care au vizat Ucraina, care au dus la desfășurarea unui ștergător de date numit HermeticWiper pe sute de mașini din națiunea est-europeană.
"Este important să rețineți că ștergătorul folosește privilegii mari asupra gazdei compromise pentru a face gazda 'instabilă' prin înlocuirea înregistrărilor și configurațiilor de boot, ștergerea configurațiilor dispozitivelor și ștergerea copiilor în umbră", a declarat Lavi Lazarovitz, șeful cercetării de securitate de la CyberArk Labs, într-o declarație distribuită cu The Hacker News.
"Ștergătorul este configurat să nu cripteze controlerele de domeniu – adică să mențină domeniul în funcțiune și să permită ransomware-ului să utilizeze acreditări valide pentru a se autentifica la servere și a le cripta. Acest lucru subliniază, de asemenea, că actorii amenințării folosesc identități compromise pentru a accesa rețeaua și / sau pentru a se deplasa lateral", a detaliat Lazarovitz.
Nu este clar câte rețele au fost afectate de malware-ul nevăzut anterior de ștergere a datelor, care a vizat organizații din industria financiară, de apărare, aviatică și IT, potrivit Symantec. Compania deținută de Broadcom a mai spus că a observat dovezi ale atacurilor ștergătoarelor împotriva mașinilor din Lituania, ceea ce implică un efect de propagare.
Mai mult, acțiunile HermeticWiper se suprapun cu un alt ștergător de date numit WhisperGate, care a fost raportat pentru prima dată ca fiind folosit împotriva organizațiilor ucrainene în ianuarie. Ca și acesta din urmă, malware-ul nou descoperit este însoțit de distribuirea unei presiuni ransomware asupra sistemelor compromise.
Malware-ul ransomware este un 64-bit, 3.14 MB . Exe dosar, scris în Golang, pe Cybereason de răspuns la incidente inginer, Chen Erlich, care a împărtășit o analiză preliminară a executabilului.
"Se pare că ransomware-ul a fost folosit ca momeală sau distragere a atenției de la atacurile ștergătorului", a spus Symantec. "Acest lucru are unele asemănări cu atacurile anterioare ale ștergătorului WhisperGate împotriva Ucrainei, unde ștergătorul a fost deghizat în ransomware"."
Analiza medico-legală inițială sugerează că este posibil ca atacurile să fi fost în modul de pregătire timp de cel puțin trei luni, ceea ce cu activități rău intenționate potențial legate de detectate într-o organizație lituaniană încă din 12 noiembrie 2021. De asemenea, s-a constatat că una dintre probele HermeticWiper are un marcaj temporal de compilare din 28 decembrie 2021.
În timp ce cele mai recente acțiuni perturbatoare nu au fost încă atribuite în mod oficial, guvernele Regatului Unit și SUA au legat atacurile DDoS asupra Ucrainei de la jumătatea lunii februarie de Direcția Principală de Informații a Rusiei (cunoscută și sub numele de GRU).
Pe măsură ce atacurile continuă să se desfășoare atât pe plan fizic, cât și pe cel digital, Reuters a raportat că guvernul ucrainean solicită ajutorul comunității hackerilor subterani din țară pentru a se apăra de infiltrările cibernetice care vizează infrastructura critică și pentru a efectua misiuni de spionaj sub acoperire împotriva forțelor rusești invadatoare.
Comments