Cyberaanvallen als oorlogsmiddel
Sophos Sophos, Cyber Threat, Cyberangriffe
Gezien de inzet van Russische troepen aan de grens met Oekraïne en distributed denial of service (DDoS) aanvallen die sporadisch gericht zijn op sporadisch Oekraïense overheidswebsites en financiële diensten verstoren wordt er veel gesproken over het voorbereid zijn op cyberconflicten, of die nu of er nu wel of niet sprake is van een daadwerkelijke oorlog. Hoewel alle bedrijven altijd voorbereid moeten zijn op aanvallen uit alle richtingen vanuit alle richtingen. Maar het kan nuttig zijn om te weten waar je op moet letten als het risico op een aanval toeneemt. Ik heb gekozen voor een geschiedenis van de bekende of Russische staat bekende of vermoede activiteiten in de cyberomgeving. cyberomgeving en te beoordelen welke soorten activiteiten te verwachten zijn en hoe of hoe organisaties daarop voorbereid kunnen zijn.
Destabiliserende denial-of-service-aanvallen
De vroegst bekende activiteit dateert van 26 april 2007.
toen de Estse regering een standbeeld ter herdenking van de bevrijding van
de bevrijding van Estland van de nazi's door de Sovjet-Unie.
prominente locatie. Deze actie maakte de Russisch sprekende bevolking van Estland woedend.
en destabiliseerde de betrekkingen met Moskou. Kort
rellen in de straten, protesten voor de Estse ambassade in Moskou en
Estse ambassade in Moskou, en een golf van DDoS-Angriffen auf estnische Regierungs- en
en websites voor financiële diensten. Volledig voorbereide tools en
instructies over hoe deel te nemen aan DDoS aanvallen verschenen op Russische
forums vrijwel onmiddellijk nadat het standbeeld was verplaatst. Deze aanvallen
waren gericht tegen websites van de president, het parlement, de politie
politie, politieke partijen en belangrijke media.
Hoewel andere "Russische patriotten" werden opgeroepen om te helpen in de Estland, maar dit was nauwelijks een volksbeweging*. een volksbeweging* die uit het niets kwam met gereedschap en een lijst van doelwitten. uit het niets. Dezelfde tactiek werd later gebruikt door Anonymous ter verdediging van Wikileaks, met behulp van een instrument genaamd de Low Orbit Ion Canon (LOIC) werd gebruikt. Op 4 mei 2007 werden de aanvallen geïntensiveerd en bovendien de aanvallen geïntensiveerd en bovendien gericht op banken. Precies zeven dagen later, om middernacht, eindigden de aanvallen even abrupt als ze begonnen waren. Iedereen gaf onmiddellijk Rusland de schuld, maar het is bijna onmogelijk om gedistribueerde denial-of-service aanvallen toe te schrijven. Er wordt nu algemeen aangenomen dat deze DDoS aanvallen het werk waren van... Russian Business Network (RBN) het werk waren van een beruchte georganiseerde misdaadgroep in Rusland met banden met spamming, botnets en farmaceutische affiliate programma's. Hun diensten werden blijkbaar precies een week lang "ingeschakeld" om deze aanvallen uit te voeren.
Op 19 juli 2008 begon een nieuwe golf van DDoS-aanvallen, gericht tegen tegen nieuws- en overheidswebsites in Georgië. Deze aanvallen namen op mysterieuze wijze dramatisch toe op 8 augustus 2008, toen 2008, toen Russische troepen de separatistische provincie Zuid-Ossetië binnenvielen. De aanvallen waren aanvankelijk gericht tegen georgische Nachrichten- und Regierungsseiten, later tegen financiële instellingen, bedrijven, onderwijsinstellingen, westerse media en een Georgische hackwebsite. In Estland verscheen een website met een lijst van doelwitten en een reeks doelwitten en een reeks tools met instructies voor het gebruik ervan. Opnieuw werd geprobeerd de aanvallen toe te schrijven aan de "patriotten", die zich verzetten tegen de Georgische agressie. Maar het grootste deel van het eigenlijke aanvalsverkeer kwam van een bekend groot botnet, vermoedelijk botnet dat vermoedelijk door RBN wordt gecontroleerd.
Digitale beschadiging en spam
De aanvallen op Georgië omvatten ook defacement van websites en massale
websites en massale spamcampagnes om de Georgische inboxen te verstoppen.
Georgische inboxen. Dit alles diende kennelijk om
in het vermogen van Georgië om zichzelf te verdedigen en te besturen.
om zichzelf te verdedigen en te besturen, en om te voorkomen dat de regering...
om effectief te communiceren met haar burgers en de buitenwereld. Minder dan een jaar later.
dan een jaar later, in januari 2009, begon een andere reeks van
DDoS-aanvallen in Kirgizië. Dit gebeurde op hetzelfde moment dat de
Kirgizische regering besliste of ze het huurcontract voor een
Amerikaanse luchtmachtbasis in hun land. Toeval? Het leek erop
dat de actie opnieuw werd uitgevoerd door het RBN, maar deze keer...
was het geen list van "patriotten" die hun digitale
uitdrukking.
Desinformatie en isolatie
Dit brengt ons bij het meest recente kinetische conflict, de
De Krim in 2014. Sinds 2009 wordt er een informatieoorlog op laag niveau tegen Oekraïne gevoerd.
is op een laag niveau tegen Oekraïne gevoerd, waarbij veel aanvallen samenvielen met...
samenvallen met gebeurtenissen die kunnen worden uitgelegd als een bedreiging voor de Russische belangen, zoals
belangen, zoals een NAVO-top en onderhandelingen tussen Oekraïne en de
en onderhandelingen tussen Oekraïne en de EU over een associatieovereenkomst.
2014 meldde de New York Times dat de kwaadaardige software “Snake” in das Büro des ukrainischen Premierministers
en verschillende afgelegen ambassades waren binnengedrongen toen de anti-regeringsprotesten in Oekraïne
anti-regeringsprotesten begonnen. Tegen het einde van 2013 en
begin 2014 publiceerde ESET ook onderzoek
waarin aanvallen op militaire doelen en mediakanalen werden gedocumenteerd, aangeduid als "Operation Potao Express".
Zoals eerder, een cybergroep van eigen bodem genaamd de
cybergroep genaamd "Cyber Berkut" DDoS-aanvallen en defacements op het web uitgevoerd, zonder dat daarbij
maar zonder grote schade te veroorzaken. Het veroorzaakte echter wel grote
verwarring, en dat alleen al heeft invloed in tijden van conflict.
Aan het begin van het conflict namen soldaten zonder insignes de telecommunicatienetwerken van de Krim en het enige internetknooppunt in de regio. internetknooppunt in de regio en veroorzaakten een informatiestop. informatie black-out. De aanvallers misbruikten hun toegang tot het netwerk om anti-Russische demonstranten te identificeren en hen sms-berichten te sturen en stuurden hen sms-berichten met de tekst: "Geachte abonnee, u bent u bent geregistreerd als deelnemer aan een massale oproer". Nadat zij de communicatiecapaciteit van de Krim hadden geïsoleerd, manipuleerden de aanvallers het netwerk. Nadat zij de communicatiecapaciteit van de Krim hadden geïsoleerd, manipuleerden de aanvallers ook de mobiele telefoons van leden van het Oekraïense parlement en verhinderden hen om effectief te reageren op de invasie. Zoals Military Cyber Affairs waren de desinformatiecampagnes in volle gang. geval betaalde Rusland één persoon om verschillende webidentiteiten te hebben. webidentiteiten te hebben. Een acteur in St. Petersburg verklaarde dat toen drie verschillende bloggers met tien blogs, terwijl hij commentaar gaf op andere websites. commentaar geven op andere websites. Een andere persoon werd in dienst genomen om 126 keer per 12 uur commentaar te geven op nieuws en sociale media. commentaar te geven."
Verlammende elektriciteit
Op 23 december 2015 werd de elektriciteit abrupt afgesloten voor ongeveer de helft van de inwoners van
Ivano-Frankivsk (Oekraïne) hun elektriciteit abrupt afgesloten. Het is algemeen bekend
dat dit het werk was van door de staat gesteunde Russische hackers.
hackers. De eerste aanvallen begonnen meer dan sechs Monate
voor de stroomstoring, toen werknemers van drie stroomdistributiecentra
een geïnfecteerd Microsoft Office document openden met daarin een macro die de
malware genaamd BlackEnergy, en de aanvallers slaagden erin om op afstand
toegang op afstand tot het SCADA-netwerk (Supervisory Control and Data Acquisition) te krijgen en zich meester te maken van de gegevens.
en Data Acquisition) netwerk en de controle over het onderstation over te nemen.
controle over de onderstationbediening om de stroomonderbrekers te openen.
stroomonderbrekers te openen. Vervolgens verstoorden ze de afstandsbedieningen om te
te voorkomen dat de stroomonderbrekers werden gesloten om de stroom te herstellen.
stroom te herstellen. Bovendien gebruikten de aanvallers
een "wisser" gebruikt om de computers te vernietigen die werden gebruikt om het netwerk te besturen, terwijl ze ook
computers gebruikt om het netwerk te controleren, en voerden tegelijkertijd een telefoon
denial-of-service (TDoS) aanval door het overspoelen van de klantenservice
nummers van de klantenservice, waardoor klanten die probeerden de storingen te melden werden gefrustreerd.
klanten te frustreren die probeerden de storingen te melden.
Bijna een jaar later, op 17 december 2016, gingen in Kiev opnieuw de lichten uit. gingen de lichten weer uit. Toeval? Waarschijnlijk niet. Deze keer was de malware genaamd Industroyer/CrashOverride en was weitaus ausgefeilter. De malware was uitgerust met modulaire componenten die het netwerk konden scannen... netwerk om SCADA controllers te vinden en hun taal kon spreken. taal spreken. Het had ook een wiscomponent om het systeem te wissen. het systeem te wissen. De aanval leek niet mogelijk met BlackEnergy of of de bekende Wiper tool KillDisk, maar er was geen twijfel over wie er achter zat. was er geen twijfel over wie erachter zat.
Openbaarmaking van e-mails
In juni 2016, tijdens de campagne voor de presidentsverkiezingen...
tussen Hillary Clinton en Donald Trump, kwam er een nieuwe figuur op het toneel met de naam Guccifer 2.0
die beweerde het Democratisch Nationaal Comité te hebben gehackt en te hebben
en haar e-mails lekte naar Wikileaks. Hoewel dit
niet officieel aan Rusland wordt toegeschreven, dook het op samen met andere desinformatie
desinformatiecampagnes tijdens de verkiezingen van 2016 en wordt algemeen aangenomen
algemeen aangenomen dat het Kremlin erachter zat.
Aanvallen op de toeleveringsketen: NotPetya
De aanhoudende aanvallen van Rusland op Oekraïne waren nog niet
voorbij, en op 27 juni 2017 maakten ze de situatie nog erger toen ze
een nieuwe malware genaamd NotPetya lanceerden.
NotPetya was vermomd als een nieuwe ransomware en werd verspreid via een gehackte
toeleveringsketen van een Oekraïense leverancier van boekhoudsoftware.
leverancier van boekhoudsoftware. In feite was het echter helemaal geen ransomware.
Het versleutelde wel een computer, maar kon niet worden ontsleuteld, waardoor het apparaat...
waardoor het apparaat effectief werd gewist en onbruikbaar werd.
De slachtoffers waren nicht auf ukrainische Unternehmen
beperkt. De malware verspreidde zich binnen enkele uren over de hele wereld.
binnen enkele uren wereldwijd, waarbij vooral organisaties in de Oekraïne werden getroffen.
Oekraïne, waar de geboobytrapte boekhoudsoftware werd gebruikt.
Geschat wordt dat NotPetya ten minste
naar schatting ten minste 10 miljard dollar aan schade wereldwijd heeft veroorzaakt.
heeft.
Onder een valse vlag
Toen de Olympische Winterspelen van PyeongChang op 9 feb.
2018, dreigde een nieuwe aanval die de wereld in spanning hield.
wereld in spanning. De malware-aanval schakelde alle domeincontrollers in het netwerk uit...
netwerk en verhinderde alles, van de Wi-Fi tot de ticketbalies...
alles, van de Wi-Fi tot de kassa's, niet goed kon functioneren.
Wonderbaarlijk genoeg slaagde het IT team erin om het netwerk te isoleren,
herstelde de malware en verwijderde het van de systemen zodat de volgende ochtend...
alles weer werkte, zonder een enkele foutmelding.
Toen was het tijd om een malware analyse uit te voeren,
om uit te zoeken wie er probeerde aan te vallen en het...
en het hele Olympische netwerk lam te leggen. Het toewijzen van malware is moeilijk, maar er waren
enkele aanwijzingen die zouden kunnen helpen, of het waren valse aanwijzingen die wezen op
valse aanwijzingen die moesten wijzen naar een niet betrokken derde partij.
Het "bewijs" leek te wijzen naar Noord-Korea en China, maar het was bijna
het was bijna te voor de hand liggend om Noord-Korea de schuld te geven. Uiteindelijk
Igor Soumenkov van Kaspersky Lab, met briljant speurwerk...
een spoor gevonden dat rechtstreeks naar Moskou wees.
Een paar jaar later, net voor de feestdagen eind 2020, werd een werd een ketenaanval onthuld die gericht was op de SolarWinds Orion software, die wordt gebruikt voor het beheer van de van grote en middelgrote ondernemingen over de hele wereld, waaronder veel Amerikaanse federale agentschappen. De update mechanismen van de software werden gekaapt en gebruikt om een achterdeur te installeren. De bekendheid van de slachtoffers in verband met de gecombineerd met de toegang door de heimelijk geïnstalleerde achterdeur, maakt deze backdoor maakt deze aanval potentieel een van de grootste en meest meest schadelijke cyberspionage aanvallen in de moderne geschiedenis. Het U.S. Federal Bureau of Investigation (FBI), het Cybersecurity and Infrastructure Security Agency (CISA), het Office of Director of National Intelligence (ODNI), en de National Security Agency (NSA)... hebben een gezamenlijke verklaring uitgegeven waarin staat dat hun onderzoeken erop wijzen dat onderzoeken erop wijzen dat: "...een Advanced Persistent Threat actor, waarschijnlijk van Russische oorsprong, is verantwoordelijk voor de meeste of recent ontdekte lopende cyberaanvallen tegen overheids- en niet-overheids overheids- en niet-overheidsnetwerken. Op dit moment gaan wij ervan uit dat dit een inlichtingenactie is en zal blijven. actie is en zal blijven."
Russisch cyberconflict in 2022
In 2022 nemen de cyberpolitieke spanningen weer toe...
en staan op het punt van uitbreken. Op 13 en 14 januari 2022 werden talrijke
Oekraïense overheidswebsites beklad en systemen gecompromitteerd.
systemen werden besmet met malware vermomd als ransomware.
onderdelen van deze aanvallen doen denken aan het verleden.
De malware was geen ransomware, maar slechts een ausgeklügelten Wiper,
zoals ook werd gebruikt bij de NotPetya-aanvallen. Bovendien werden
werden veel valse sporen achtergelaten, wat suggereert dat het het werk van Oekraïners was,
dat het het werk zou kunnen zijn van Oekraïense dissidenten of Poolse partizanen.
Afleiden, verwarren, ontkennen en proberen te verdelen lijkt nu de standaard te zijn.
Op dinsdag 15 februari 2022 werd een persconferentie gehouden in de
15 februari 2022 werd een reeks DDoS-aanvallen gelanceerd tegen Oekraïense...
overheids- en militaire websites, evenals drie van de grootste Oekraïense
banken gelanceerd. In een nooit eerder geziene zet heeft de Weiße Haus bereits einige Geheimdienstinformationen freigegeben de aanvallen toegeschreven aan de Russische GRU.
Het Russische draaiboek voor cyberoorlogsvoering
Wat nu? Ongeacht of de situatie verder escaleert, zullen de
zullen de cyberoperaties zeker doorgaan. Sinds de val van
Viktor Janoekovitsj in 2014 is Oekraïne onderworpen aan een constant spervuur van...
van aanvallen, met wisselende hoogte- en dieptepunten.
De officiële "Militaire Doctrine van de Russische Federatie" van 2010
Federatie" uit 2010 stelt: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." Dit wijst op een
voortzetting van eerdere gedragingen vóór het conflict en maakt de
DDoS-aanvallen een mogelijk teken van een op handen zijnde kinetische reactie.
Informatieoorlog is voor het Kremlin een manier om te proberen de
de reactie van de rest van de wereld op de acties in Oekraïne te sturen.
valse aanwijzingen, valse toeschrijvingen, verstoorde communicatie en
mappings, verstoorde communicatie en de manipulatie van sociale media
zijn allemaal belangrijke onderdelen van Ruslands
informatieoorlogsconcept. Zij hoeven geen permanente dekking te creëren voor
activiteiten op de grond of elders, maar slechts om voldoende
voldoende vertraging, verwarring en tegenspraak, zodat andere gelijktijdige operaties...
gelijktijdige operaties hun doelstellingen kunnen bereiken.
Voorbereiden en beschermen
Interessant is dat de Verenigde Staten en het
Verenigd Koninkrijk proberen te anticiperen op sommige van de desinformatiecampagnes, die
die hun effectiviteit zouden kunnen beperken. We moeten er echter
er niet van uit moeten gaan dat de aanvallers zullen stoppen met proberen, dus moeten we
dus moeten we voorbereid en waakzaam blijven.
Organisaties in buurlanden van Oekraïne moeten voorbereid zijn om te worden betrokken bij online zwendelpraktijken, zelfs als zij niet rechtstreeks zelfs als zij niet rechtstreeks in Oekraïne actief zijn. Eerder zijn aanvallen en verkeerde informatie zijn uitgelekt naar Estland, Polen en andere buurlanden Estland, Polen en andere buurlanden, al was het maar als bijkomende schade. Vanuit een mondiaal perspectief moeten we verwachten dat een aantal een aantal "patriottische" freelancers in Rusland, d.w.z. ransomwarecriminelen, phish-auteurs en botnetbeheerders, met nog grotere met nog meer ijver dan gewoonlijk zullen optreden tegen doelen die als tegen het moederland worden beschouwd. Het is onwaarschijnlijk dat Rusland rechtstreeks NAVO-leden zal aanvallen. Rusland om rechtstreeks NAVO-leden aan te vallen en het risico van Artikel V risico. De recente gebaren van Rusland om criminelen te beteugelen, gemaakt door de Russische Federatie en haar partners in het Gemenebest van Onafhankelijke Staten (GOS), zullen echter waarschijnlijk waarschijnlijk tot een einde komen en in plaats daarvan zullen de bedreigingen toenemen. bedreigingen zullen toenemen.
Terwijl een diepe verdediging de normaalste zaak van de wereld zou moeten zijn zou de normaalste zaak van de wereld moeten zijn, maar het is vooral belangrijk wanneer we geconfronteerd worden met een toename van de frequentie en ernst van de aanvallen. De desinformatie en propaganda zullen spoedig een hoogtepunt bereiken, maar we moeten... maar we moeten op onze hoede zijn, de luiken dicht timmeren en onze onze netwerken in de gaten houden voor iets ongewoons als de cycli van conflicten afnemen - zelfs als ze snel eindigen. Want zoals we allemaal kan het maanden duren om bewijs te vinden van een digitale inbraak... in verband met het Russisch-Oekraïense conflict opduikt.
Originele blog post door Jörg Schindler - Senior PR Manager bij Sophos