Russische Akteure nutzen kompromittierte Gesundheitsnetzwerke gegen ukrainische Organisationen

Mit Russland verbundene Bedrohungsakteure nach sich ziehen Systeme mehrerer Organisationen in den USA, Großbritannien, Französische Republik und anderen Ländern kompromittiert und nutzen sie, um Angriffe uff Ziele in jener Ukraine zu starten.

Laut einer am 6. letzter Monat des Jahres veröffentlichten Studie des Threat-Intelligence- und Cyber-Deception-Unternehmens Lupovis Ergehen sich mindestens 15 Gesundheitsorganisationen, ein Fortune-500-Unternehmen und ein Dammüberwachungssystem unter denen, deren Netzwerke von den Angreifern gekapert wurden.

„Russische Kriminelle leiten ihre Netzwerke um, um Cyberangriffe uff Ukrainer zu starten [organizations]welches effektiv bedeutet, dass sie selbige Organisationen benutzen, um ihre Drecksarbeit zu erledigen”, warnte Lupovis in seinem Lagebericht.

Lupovis hat kürzlich eine Schlange von Lockdokumenten, Webportalen und SSH-Diensten im Netz bereitgestellt, um russische Bedrohungsaktivitäten zu untersuchen, die uff ukrainische Einrichtungen abzielen. Ziel war es herauszufinden, inwieweit Russlands Krieg in jener Ukraine in die Cyberwelt übergegriffen hatte, wie viele vorhergesagt hatten.

Ukraine-Themen-Lockvögel

Dies Unternehmen entwarf die Köder so, dass sie russische Akteure ködern, die ukrainische Ziele kompromittieren wollen. Zum Musterbeispiel hat Lupovis Lockdokumente mit Namen versehen, die sich uff ukrainische Regierungsbeamte und die kritische nationale Unterbau des Landes beziehen, und seine Lockwebseiten fälschten die ukrainische Regierung und politische Websites. Die Köder-Dokumente enthielten Informationen, die Angreifer zu Gunsten von nützlich halten würden, wie Benutzernamen, Passwörter und Adressen zu vorgeblich kritischen Vermögenswerten und Datenbanken uff den Köder-Websites. Dies Unternehmen hat gezielt manche dieser gefälschten Dokumente in wichtigen Dark-Web-Foren veröffentlicht.

Lupovis gelang es, drei Arten von Gegnern an seine Köderstandorte zu versuchen. Eine Posten besteht aus opportunistischen Angreifern oder solchen, die dasjenige Netz ständig nachdem ausnutzbaren CVEs und Systemen durchsuchen. Dies war eine Kategorie von Bedrohungsakteuren, die Lupovis zu Gunsten von die Zwecke seiner Studie ignorierte. Die zweite Kategorie von Gegnern bestand aus Bedrohungsakteuren, die unverhohlen uff den Köderseiten landeten, ohne den Brotkrümeln zu hören, die Lupovis in den Dark-Web-Foren gepflanzt hatte. Die dritte Posten von Bedrohungsakteuren waren hauptsächlich in Russland ansässige Gegner, die den Köder nahmen, Informationen aus den Köderdokumenten extrahierten und damit die Köder-Websites angriffen.

Insgesamt landeten zwischen 50 und 60 Angreifer uff jeder jener beiden Lockvogelseiten, die Lupovis möbliert hatte – manche von ihnen nur wenige Minuten, nachdem die Seiten live gegangen waren. Sowie die Angreifer uff den Websites waren, führten sie eine Vielzahl von böswilligen Aktivitäten aus, darunter SQL-Injection-Angriffe, Taktiken zum Einschließen von Remote-Dateien und Ausnutzungsversuche von Docker. In vielen Fällen versuchten Bedrohungsakteure uff den Lockvogelseiten, sie zu einem Teil größerer DDoS-Botnets zu zeugen oder sie zu Gunsten von Angriffe uff andere ukrainische Websites zu verwenden.

Die größte Posten jener Angreifer seien unabhängige Akteure, sagt Xavier Bellekens, Geschäftsführer von Lupovis. Sie schienen oft im Alleingang zu handeln und waren Teil von Communities uff Telegram, sagt er. „Wenige Schauspieler waren in ihren Techniken, Taktiken und Verfahren fortgeschrittener. Wir konnten sie jedoch noch nicht mit bekannten russischen APTs vergleichen.“

Die Hauptmotive zu Gunsten von viele dieser Angriffe schienen Informationsdiebstahl, Störungen und die Verwendung jener Lockvogel-Websites zu sein, um Angriffe uff andere ukrainische Ziele zu starten, stellt er straff.

In Betracht kommen nachdem dem Gesundheitswesen

Einer jener beunruhigendsten Aspekte, die Forscher zusammen mit Lupovis beobachteten, war die Zahl jener Angriffe uff seine Köder von anderen, zuvor kompromittierten Websites und Systemen, die Gesundheitsorganisationen und Einrichtungen in anderen Branchen aus mehreren Ländern in Besitz sein von.

Laut Bellekens war Lupovis nicht in jener Stellung, die spezifischen Gruppen zu identifizieren, die selbige Angriffe durchgeführt nach sich ziehen, oder ob es sich zusammen mit einer von ihnen um zuvor bekannte russische Advanced Persistent Threat Groups handelte. „Wir nach sich ziehen sie denn russisch identifiziert, wenn sie Skripte mit kyrillischer Schriftsystem verwendeten, versuchten, uff russische Websites zuzugreifen, [or] suchte nachdem spezifischen Informationen in kyrillischer Schriftsystem“, sagt er. „Eine große Zahl dieser Gegner versuchte, die Köder weiter auszunutzen, um Angriffe gegen ukrainische Einheiten zu starten.“

Die Ergebnisse von Lupovis deuten darauf hin, dass die Befürchtungen Zustandekommen dieses Jahres oben russische Cyberangriffe in jener Ukraine, die sich uff Organisationen in anderen Ländern auswirken könnten, richtig waren. „Russische Cyberangriffe sind in die Höhe geschossen und jedes Staat oder Unternehmen, dasjenige sich mit jener Ukraine verbündet oder sich dem Krieg widersetzt hat, ist zu einem Ziel geworden“, heißt es in dem Lagebericht.

Zweifel im Sinne als solcher Angriffe veranlassten die US-Behörde zu Gunsten von Cybersicherheit und Infrastruktursicherheit (CISA) Zustandekommen dieses Jahres, eine Ratschlag herauszugeben, in jener sowohl die Regierung denn unter ferner liefen private Organisationen aufgefordert wurden, eine „Shields Up“-Körperhaltung einzunehmen, um Angriffe russischer Cybergruppen zu wiedererkennen und darauf zu reagieren. Dies Gutachten folgte Äußerungen von Vorsitzender Joe Biden oben die Stand-By jener US-Regierung, uff jeden Versuch Russlands, die USA im Cyberspace oder mit anderen asymmetrischen Mitteln anzugreifen, mit Sachleistungen zu reagieren.