Cyberkrig mot Ukraina: Observationer och rekommendationer

Cyberkrig mot Ukraina: Observationer och rekommendationer

Vad ni bör göra. Vad vi gör

Uppdaterad 3 mars 2022

Efter att Twitter-användaren @ContiLeaks först läckte chattlogguppgifter från Conti Cy-X-operationen har ytterligare uppgifter fortsatt att läcka. De senaste offentliggörandena kan visa sig vara en skattkammare för säkerhetsanalytiker eftersom de innehåller Contis källkod tillsammans med en stor mängd information, inklusive ytterligare chattloggar, malware, information om offren och deras tillvägagångssätt. Vi har för närvarande ett team av experter som analyserar uppgifterna, men detta kommer troligen att ta flera dagar på grund av informationsmängden.

Det franska cybersäkerhetsorganet ANSSI har uppdaterat sina rekommendationer, som nu innehåller ett råd som rekommenderar organisationer att börja tänka på att byta ut eventuella ryska cybersäkerhetslösningar, eftersom man räknar med att de inte kommer att kunna upprätthålla sina produkter på de säkerhetsnivåer som krävs i framtiden. En sådan leverantör som nämns är naturligtvis Kaspersky, som har försökt att hålla sig neutral sedan konflikten eskalerade.

Proofpoint har släppt detaljer om en phishingattack som släpper en trojan, kallad "SunSeed", som riktar sig mot en europeisk regeringstjänsteman som arbetar med den ukrainska flyktingfrågan. Man antar att de ansvariga hotverkarna är de vitryska grupperna Ghostwriter och/eller UNC1151.

ESET-forskare har rapporterat att wiper-attacker fortsätter att förekomma med en grundläggande maskkomponent kallad "HermeticWizard" som försöker distribuera "HermeticWiper" i ett infekterat lokalt nätverk. Eftersom den bara använder SMB- och VMI-protokollen för att sprida sig är det dock inte troligt att den kommer att bli lika utbredd som tidigare maskar som till exempel EternalBlue. En annan wiper-variant, kallad "IsaacWiper", har också upptäckts under en destruktiv attack mot ett ukrainskt regeringsnätverk. Denna variant har inga kodlikheter med HermeticWiper och är mycket mindre sofistikerad.

Även om det inte finns några indikationer på att någon av ovanstående wipers har använts mot något annat land än Ukraina, finns det fortfarande risk för att hotbildsoperatörer kan besluta att använda dem mot länder eller enheter som stöder den ukrainska regeringen eller som inför sanktioner mot Ryssland, och det rekommenderas därför att vara vaksam.

Andra hot mot organisationer utanför Ukraina framöver kan mycket väl involvera ransomware-aktörer, där åtminstone en på det berömda RAMP-forumet nyligen sökte nätverksåtkomst för företag från Ukraina men även Nato-medlemmar.

För tillfället kan den mest genomslagskraftiga attacken mot ett västerländskt företag ha varit den mot KA-SAT, en leverantör av satellitanslutningstjänster som används av många kunder i Europa och som drivs av ViaSat (ett dotterbolag till Viacom). Tjänsten låg nere på grund av en "cyberhändelse" som började i Ukraina men som även påverkade andra europeiska länder. Tyvärr har leverantören inte delat med sig av någon ytterligare information sedan den första rapporteringen den 24 februari. Denna dag markerar de ryska militärstyrkornas start av kriget; attacken kan alltså mycket väl ha utförts avsiktligt för att störa specifika kommunikationsmöjligheter i Ukraina.

Ytterligare hacktivismattacker mot Ryssland fortsätter att rapporteras även om det är svårt att fastställa riktigheten i dessa rapporter. Bland dessa rapporter finns en grupp som är knuten till Anonymous och som hävdar att de lyckades attackera kontrollcentret för Roscosmos, den ryska rymdorganisationen, vilket ledde till att Ryssland förlorade kontrollen över sina satelliter. Ett annat exempel var från "AgainstTheWest" som hävdade att de angripit det ryska finansinstitutet Sberbank och att de snart kommer att läcka DNS-infrastrukturuppgifter, privata nycklar för SSL, Sberbank API, CLI och SDK:er. Eftersom den ryska regeringen helt och hållet kontrollerar mediernas rapportering sedan kriget inleddes har vissa hacktivister blivit kreativa i sina försök att låta ryska medborgare få veta vad som händer. En metod som använts är att översvämma restaurangrecensioner med budskap mot kriget/anti-Putin.

En inspelning av ett nyligen genomfört webinar för kunder finns på vår webbplats här.

Länkar till vår guide "Ransomware Can Beaten", där vi anser att det finns åtgärder som kan vidtas och som också hjälper dig att förbereda dig i händelse av eventuella kollaterala skador från skadlig verksamhet från kriget mot Ukraina.

Uppdaterad den 28 februari 2022

Internet blir alltmer ett slagfält med ett ökande antal DDoS-attacker, förstörda webbplatser och dataläckor. Den kanske mest oroande aktiviteten var tillkännagivandet från Conti Ransomware (Cy-X) om att de tog parti för Ryssland och att de skulle attackera kritisk infrastruktur om Ryssland blev måltavla för cyberattacker. De mildrade senare sitt budskap, men det hindrade inte en av deras medlemmar, förmodligen av ukrainsk härkomst, från att läcka gruppens interna chattloggar från det senaste året i en uppenbar handling av fientlighet mot resten av gruppen.

De ukrainska myndigheterna vädjade till människor att ansluta sig till en "IT-armé" med lättanvända guider som gjordes tillgängliga för att DDoS-attacker mot ryska mål, och de berömde också hackerkollektivet Anonymous för deras verksamhet mot Ryssland. Anonymous fick erkännande för att ha lagt ner webbplatsen för den statliga TV-kanalen Russia Today med en DDoS-attack. Andra attacker från okända källor resulterade också i att ryska tv-kanaler hackades för att sända pro-ukrainska budskap och sånger.

Andra "hacktivistiska" aktiviteter fortsätter att synas, och en av de senaste attackerna utfördes av den vitryska gruppen "Cyber Partisans" mot det vitryska järnvägsnätet för att störa ryska truppförflyttningar till Ukraina. En annan attack riktade sig mot en ukrainsk gränskontrollstation med skadlig kod för att påverka de tusentals människor som för närvarande försöker fly från landet på grund av kriget.

Efter en direkt begäran från Ukrainas vice premiärminister blev Elon Musk en oväntad välgörare för Ukraina genom att meddela att SpaceX:s Starlink-satelliter hade aktiverats i Ukraina och att fler terminaler var på väg. Detta kommer att hjälpa Ukraina att upprätthålla en närvaro på nätet i det fall att nätverksinfrastrukturen förstörs av Ryssland. Vi förväntar oss att hacktivism och ransomware-aktivitet kommer att fortsätta att eskalera i takt med att konflikten utvidgas, men vi är också fortsatt vaksamma på upptrappningen av direkta och sofistikerade statsstödda aktiviteter riktade mot båda de primära protagonisterna, med åtföljande hot om kollateral skada för regeringar och företag över hela världen.

Sammanfattning

Kriget mot Ukraina utvecklas för varje minut, med tydliga konsekvenser för cyberhotlandskapet. Vi vill ge er insikter om vad vi har observerat, ge er råd om vad ni kan göra för att skydda er själv och uppdatera er om vad vi gör för att hålla vår verksamhet säker.

Flera cyberattacker har observerats sedan början av upptrappningen av spänningarna. Från desinformationskampanjer på sociala nätverk till överbelastningsattacker mot bankinstitutioner och statliga webbplatser.

Det är viktigt för företag att dagligen övervaka situationen och anpassa sig till ny och relevant information när den blir tillgänglig. Företag som har direkta kopplingar till andra företag i Ukraina måste vara särskilt vaksamma.

I detta skede bör det primära målet för civila företag och organisationer vara att förbereda, förbereda och testa kapaciteten för cyberincidenter och beredskap för nödsituationer. Förbered er på att ta emot nya underrättelser och indikatorer på sårbarhet, angrepp eller äventyrande från externa eller interna aktörer i er egen organisation, utvärdera deras potentiella inverkan, fatta sunda riskbaserade beslut och reagera snabbt.

Vi anser att företag som har genomfört en stark och testad reaktion på hotet från ransomware är väl positionerade för att hantera eventuella cyberattacker som potentiellt skulle kunna sprida sig på grund av kriget mot Ukraina. Dessa kontroller kommer också att hjälpa till att avvärja eventuella angripare som uppvisar kapacitet och färdigheter på statlig nivå som de som sannolikt kommer att vara aktiva i och kring denna konflikt.

Vit är ett tillstånd där enheten inte är medveten om något hot och inte försöker hitta några hot. Typiskt sett är detta tillstånd ett resultat av "noll oro för personlig säkerhet". I idealfallet bör ingen befinna sig i detta tillstånd.

Gult representerar vad som bör betraktas som det normala tillståndet. En enhet gör ett aktivt försök att identifiera potentiella hot. Detta manifesteras av självmedvetenhet och självtillit. Detta tillstånd utgör inte någon som lever i rädsla eller ständig paranoia, utan snarare någon som håller utkik efter möjliga faror.

Det orangea tillståndet är när ett hot har identifierats och en lösning beräknas. Konsekvenserna av detta är att den entitet som identifierade hotet ökar sin mentala ansträngning för att fokusera på hotet, vilket gör att den eventuellt tillfälligt förlorar andra hot ur sikte. Att upprätthålla detta tillstånd är påfrestande.

Slutligen innebär det röda tillståndet att enheten har utarbetat en plan för att hantera hotet. Detta leder till en intensiv reaktion som är specifikt inriktad på att hantera hotet.

Enligt Coopers färgsystem tilldelar vi ett orange tillstånd med betoning på att vara redo och utarbeta planer för att hantera de identifierade scenarierna.

Det orangea tillståndet är när ett hot har identifierats och en lösning håller på att utarbetas. Detta tillstånd innebär en ökad mental ansträngning för att fokusera på hotet, vilket kan leda till att man tillfälligt förlorar andra hot ur sikte. Att upprätthålla detta tillstånd är ansträngande.

På denna hotnivå rekommenderar vi därför att kunderna är medvetna, vaksamma och beredda att reagera, men utan att distraheras från de bredare strategiska prioriteringarna för att bygga upp cyberresiliens i sina system och företag.

Potentiella mål

Potentiella "mål" för cyberattacker är bland annat:

• Ukrainska statliga institutioner
• Försvars- och militärinstitutioner, inklusive tillverkare
• Telekommunikationssektorn och internettrafik
• Europeiska medier - propaganda
• Europeiska och amerikanska industrier som investerat i Ukraina
• Amerikanska, europeiska och andra regeringar som är allierade med någon av parterna eller som inför sanktioner eller andra kostnader

Vi bör dock komma ihåg att i den ökända NotPetya-attacken orsakades den största skadan av organisationer som inte var specifikt riktade mot dem, utan snarare blev en kollateral skada när NotPetya-masken av misstag undkom sina ursprungliga målinriktningsbegränsningar. En upprepning av detta scenario bör också ge anledning till oro.

Metoder för cyberattacker

De förväntade angreppsmetoderna nedan är inte uttömmande, utan representerar en rad metoder från de mest sannolika - metod 1 - till de minst sannolika - metod 5 - som vi kan förvänta oss att de kommer att användas i denna konflikt.

Det finns naturligtvis också ett bestående hot om desinformation och kampanjer för felaktig information i samband med denna konflikt, men detta ligger utanför detta dokuments räckvidd.

Metod 1 - DDoS

Uppdelning

DDoS-attacker kan ta sig flera olika tekniska former, men den vanligaste varianten är den distribuerade Denial of Service-attacken, där flera externa system samarbetar för att översvämma en enskild klient med tillräckligt mycket nätverkstrafik för att förbruka all tillgänglig bandbredd eller alla tillgängliga resurser.

• Trafik med hög volym som är avsedd att mätta Internettillgången för målföretag Tjänst inom nätverket
• Bandbreddsattacker i kombination med attacker mot brandväggar eller IPS (Intrusion Prevention System)-säkerhetsinfrastruktur och -tillämpningar
• Attacker som riktar sig mot ett stort antal företagsapplikationer (HTTP, HTTPs, VoIP, DNS och SMTP)
• Perimetriska försvar är i allmänhet ineffektiva mot dessa hot

Översikt

DDoS-attacker är populära eftersom de är relativt enkla att genomföra och används ofta av statliga aktörer, hacktivister och cyberkriminella. Olika verktyg och tekniker, inklusive botnät för uthyrning, gör det möjligt för en angripare att generera mycket mer trafik än vad en genomsnittlig organisation kan hantera, vilket leder till att plattformar och tjänster blir otillgängliga för auktoriserade användare. Eftersom angreppskällan är "distribuerad" över flera ovetande agenter är det mycket svårt för offret att hantera trafiken och mildra angreppet.

Det anses i allmänhet inte tillräckligt att bara skydda det traditionella "skyltfönstret" från DDoS. Lösningar bygger vanligtvis på en föreställning om ett "scrubbing center". Ett scrubbing center är ett reningscenter som installeras på Internet framför en organisations Internetåtkomst, med målet att centralisera och rensa strömmar som förorenats av DDoS-attacker innan de skickas vidare till de legitima mål-IP-adresserna.

Denna typ av lösning kräver att trafiken tvingas till reningscentret. Två avledningsstrategier kan övervägas: Omledning endast om angrepp - i vilket fall det finns en fördröjning mellan den tidpunkt då angreppet identifieras och den tidpunkt då filtreringen är effektiv - och Systematisk avledning (always on mode) - i vilket fall trafiken alltid skickas vidare till skrubbningscentret.

Metod 2 - Phishing

Uppdelning

Attacken kommer att omfatta följande:

• Phishing för att underlätta 
  • Stöld av referenser
  • Nedläggning av malware
• Fjärråtkomst genom legitima tjänster (VPN) eller specialiserad malware.
• Höjning av privilegier
• Lateral förflyttning

Översikt

Den mest sannolika och troliga attacken är den enklaste och mest effektiva som vi har observerat. I detta tillvägagångssätt använder angriparna spear phishing för att antingen stjäla autentiseringsuppgifter eller spridamalware på klienten.

Stöld av autentiseringsuppgifter kan användas för att få tillgång till tjänster som säker fjärråtkomst eller VPN-tjänster, alternativt kan tjänster som är beroende av det exponerade Remote Desktop Protocol (RDP) nås med hjälp av legitima autentiseringsuppgifter.

Andra former av attacker som rör komprometterade autentiseringsuppgifter innebär att man kan tvinga fram autentiseringsuppgifter eller fylla dem med autentiseringsuppgifter. Denna typ av angrepp är mycket högljudd och kan göra försvarare uppmärksamma.

Som nämnts ovan kan nätfiske lockelser också användas för att släppa malware på offrets dator. Dessa typer av nätfiskeattacker innehåller en bilaga som, när mottagaren öppnar den, leder till att skadlig kod exekveras på värddatorn. Avsaknaden av klientskydd och antimalware-lösningar kommer att leda till att angriparen kan utföra fjärrkod på distans.

Om angriparen får fjärråtkomst till företagets infrastruktur kan han eller hon sedan gå vidare mot sitt mål. Angriparen kan försöka höja sina privilegier eller stjäla cachade autentiseringsuppgifter som gör det möjligt för angriparen att röra sig i sidled. Versioner av vanliga verktyg som Mimikatz kan användas för att uppnå detta.

Angriparen kommer att sprida sig genom miljön och slutligen försöka förankra sig i infrastrukturen. Trojaner för fjärråtkomst kan användas eller andra specialiserade verktyg som det ökända Cobalt Strike-ramverket har varit populärt på senare tid.

Metod 3 - Utnyttja kända sårbarheter

Uppdelning

Aktörer med statligt stöd, inklusive de aktörer som är aktiva runt konflikten, är skickliga på att hitta och utnyttja system som inte har patcherats för kända sårbarheter.

Det primära målet är system som är exponerade för internet.
Plattformar för fjärråtkomst som RDP och VNC är ofta måltavlor.
Flera sårbarheter i säkerhetsprodukter som VPN och brandväggar utnyttjas också aktivt i naturen.

Översikt

Aktörer som stöds av staten är skickliga på att hitta och utnyttja system som inte är skyddade, och de har den nödvändiga expertisen för att kunna utnyttja ett system som är riktat mot internet för att få fotfäste i det interna nätverket och förflytta sig i sidled.

Alla system som är exponerade för Internet, särskilt system för fjärråtkomst och säkerhetsteknik, bör vara helt patchade. Den amerikanska byrån för cybersäkerhet och infrastrukturskydd (CISA) noterade dock i ett meddelande från den 11 januari [12] att vissa specifika sårbarheter är vanliga måltavlor för aktörer i regionen. Dessa omfattar följande:

• CVE-2018-13379 FortiGate VPNs
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-7609 Kibana
• CVE-2019-9670 Zimbra software
• CVE-2019-10149 Exim Simple Mail Transfer Protocol
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2020-0688 Microsoft Exchange
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-26855 Microsoft Exchange

Observera att eliminering av dessa specifika sårbarheter inte ersätter allmän sårbarhetshantering och beredskap för angrepp.

Metod 4 - Kompromiss i leveranskedjan

Uppdelning

Detta skulle kunna se ut på följande sätt:

• En angripare äventyrar en eller flera leverantörer till ett mål
• Övergår till målet med hjälp av: 
  • Direkt nätverksåtkomst.
  • Bakdörrsprogram som distribueras till målet.
  • Missbrukar leverantörens betrodda relation för att nätfiska måltavlan.

Översikt

En kompromiss i leveranskedjan är ett effektivt sätt att få tillgång till ett mål genom att använda en betrodd tredje part. Denna typ av attack är mer komplicerad än metod 1 eftersom den kräver flera steg att utföra och kan ta längre tid.

Vi antar att en angripare har tillgång till en organisation och att angriparen tror att han kan få tillgång till sitt mål genom att utnyttja den etablerade relationen. Allt detta beror på vilken typ av relation som finns.

Företag som Managed Service Providers kan ha fjärråtkomst till en kunds nätverk som en del av sin tjänsteleveransprocess. Detta kan vara så enkelt som en nätverksrutt som gör det möjligt för trafiken att flöda mellan företagen, eller mer komplicerat som kräver åtkomstkontroll. I båda fallen kan angriparen hoppa från ett nätverk till ett annat.

Ett annat exempel på äventyrande av leveranskedjan innebär att man äventyrar programvara eller maskinvara som kommer att användas av målet. Angriparen placerar in skadliga komponenter eller försvagar befintliga komponenter för att få tillgång till dem på ett förutsägbart och tillförlitligt sätt. Utmaningen för angriparen är att denna typ av kompromiss kan sprida sig till oavsiktliga mål. Detta kan vara irrelevant beroende på vilken typ av vilande komponent som angriparen placerat ut. Sannolikheten för kollateral skada ökar om destruktiv skadlig kod injiceras som urskiljningslöst skadar system. Det finns tekniska åtgärder som angriparna skulle kunna vidta för att kontrollera explosionsradien, men det kan bero på angriparen.

Som tidigare nämnts kan den typ av leverantörskompromiss innebära att man använder sig av social ingenjörskonst. Det kan vara så enkelt som att angriparen använder det komprometterade offrets e-postsystem för att skicka ett skadligt e-postmeddelande till sitt mål. Till exempel använder angriparen en befintlig e-posttråd och lägger in en skadlig bilaga eller länk. Chansen är stor att mottagaren är mindre på sin vakt och faller för bedrägeriet mycket lättare. Dessutom kan angriparen utnyttja denna förtroenderelation för att samla in mer information innan han/hon startar sin phishingattack, vilket ökar chanserna att lyckas.

Metod 5 - Zero-Day

Uppdelning

En angripare kan utnyttja okända svagheter i:

• Tjänster som är exponerade för internet.
• Tjänst inom nätverket
• Webbläsare
• E-postklienter
• Mobila enheter och appar
• Nätverksutrustning
• IoT-enheter
• Översikt

Vi nämner zero-day-sårbarheter i slutet av skalan eftersom det är en trolig möjlighet att en statlig aktör med en känd historia av cyberangrepp är inblandad. Välutbildade team med stora resurser och mångårig erfarenhet kan möjligen ha tillgång till zero-days som de är villiga att bränna med tanke på vad som står på spel. Det är viktigt att notera att zero days upptäcks snarare än injiceras. Sårbarheter av denna klass upptäcks genom skicklighet och slump.

Den här angreppsmetoden skulle kunna ingå som en del av metoderna 1 och 2, men den skulle också kunna fungera som den första ingångspunkten. Det finns inte mycket som någon kan göra för att hindra en mycket motiverad och skicklig angripare från att utnyttja en okänd sårbarhet. Typ av zero-day och typ av program eller enhet som påverkas avgör hur användbar zero-day är.

Zero-dagars i internet-tjänster som e-post, webb eller till och med säkerhetsprodukter som säker fjärråtkomst kan innehålla en potentiellt farlig okänd sårbarhet. Beroende på vilken typ av brist som föreligger kan angriparen få tillgång till värdföretagets underliggande operativsystem, stjäla känslig information eller koppla ihop sårbarheten med något annat för att utlösa en funktionsstörning som leder till en överbelastning av tjänsterna.

Nolldagar i webbläsare, e-postklienter och meddelandeprogram kan vara särskilt värdefulla eftersom de kan utnyttjas genom "watering hole"-attacker eller genom att bara skicka ett skadligt meddelande till offret.

Vi vet dock att det är svårt att utnyttja helt patcherade mobila enheter som får regelbundna säkerhetsuppdateringar. Utnyttjande av mobila enheter är användbart för övervakning, och detta skulle kunna vara ett medel för att uppnå ett mål, men det är osannolikt att denna typ av zero-day kommer att användas för massutnyttjande.  I stället kommer den att riktas mot specifika mål som en del av informationsinsamlingen.

Vad vi gör för att skydda våra kunder

Orange Cyberdefense har vidtagit åtgärder för att skydda våra kunder och vår verksamhet i samarbete med Orange Group genom följande:

• Aktiverat den koncernövergripande krishanteringsprocessen och -gruppen som består av vår CERT, forskningskapacitet, detektions- och skanningsverksamhet, kommunikation, intern säkerhet och representanter från potentiellt drabbade länder
• Alla relevanta och användbara uppgifter distribueras automatiskt till berörda operativa team och kunder via våra standardmekanismer - World Watch Advisories, Vulnerability Watch Advisories och vår CTI Datalake
• Våra operativa team - CERT, CyberSOC, SOC, Vulnerability Scanning och CSIRT - har satts i högsta beredskap och uppdateras när konkreta uppgifter blir tillgängliga
• Vi håller regelbundna genomgångar med relevanta interna grupper för att ge uppdateringar och samla in information om situationen som de och deras kunder upplever den på plats
• Detaljerad teknisk vägledning har redan utarbetats inför krisen och kommer att uppdateras regelbundet när behovet uppstår.
• Våra detaljerade tekniska "World Watch"-råd om situationen distribueras till alla kunder när behovet uppstår
• Bekräftade indikatorer på kompromiss och angrepp delas på det offentliga internet via vår Github-webbplats som ett bidrag till större försvarsinsatser från samhället

Slutsats

Alla nationella konflikter har långtgående konsekvenser för världen i stort, och cyberrymden är inget undantag. Bortsett från de specifika hoten mot organisationer som är "direkt" involverade i konflikten har den allmänna effekten att risken för alla "ökar".

Även om vi kan identifiera vissa specifika aktörer och metoder som sannolikt kommer att spela in under denna specifika konflikt, är det denna mer allmänna uppblåsthet av risken som de flesta organisationer bör fokusera sin uppmärksamhet på.

Svaret på denna överdrivna risk är att anta en allmän beredskap samtidigt som vi fortsätter att följa en robust strategi för ett robust försvar på djupet som kommer att positionera oss för en mångfald av hot som kan dyka upp i denna konflikt eller någon annanstans.

Referenser