Киберпространство чувствует напряжение от смертоносного вторжения России в Украину: несколько сайтов, связанных с Кремлем и его союзниками в Беларуси, в последние дни были недоступны для всех или, по крайней мере, для большинства частей Интернета.
Отключения начались на прошлой неделе с порчи российских веб-сайтов и набрали обороты в выходные после звонок от вице-премьер-министра Украины для формирования «ИТ-армии», нацеленной на интересы России.
Призыв к оружию
«Задания найдутся для всех», — написал вице-премьер Михаил Федоров. «Мы продолжаем бороться на киберфронте. Первое задание — на канале для киберспециалистов».
Мы создаем ИТ-армию. Нам нужны цифровые таланты. Здесь будут даны все оперативные задания: https://t.co/Ie4ESfxoSn. Задания найдутся для всех. Мы продолжаем бороться на киберфронте. Первое задание на канале для киберспециалистов.
— Михаил Федоров (@FedorovMykhailo) 26 февраля 2022 г.
В список задач вошли 31 организация, аффилированная с Кремлем, российскими банками и корпорациями, а также Беларусью. Цели также включают российские правительственные учреждения, правительственные IP-адреса, правительственные устройства хранения и почтовые серверы, а также поддержку критической инфраструктуры. На какое-то время была отключена и популярная российская поисковая система и почтовый портал «Яндекс».
Веб-сайты многих из перечисленных организаций, включая банки (Газпромбанк), компании (Сбербанк), корпорации (Русская медная компания а также Лукойл) и правительственные веб-сайты (Государственные службы Москвы и Министерство обороны) — были недоступны на момент публикации этого поста.
Тем временем Киберполиция Украины сообщил в воскресенье что ИТ, работающие от имени страны, успешно заблокировали доступ пользователей сети к множеству известных российских сайтов.
В настоящее время не работает
«Киберспециалисты проводят массированные кибератаки на веб-ресурсы России и Беларуси», — говорится в сообщении. «Веб-сайт Следственного комитета Российской Федерации, ФСБ Российской Федерации, Сбербанка и других важных государственных и критических информационных систем для Российской Федерации и Беларуси в настоящее время не работает».
В сообщении говорилось, что удаленные сайты включали следующие, все из которых были недоступны на момент публикации этого сообщения:
- sberbank.ru
- vsrf.ru
- scrf.gov.ru
- кремль.ру
- Radiobelarus.by
- rec.gov.by
- sb.by
- беларусь.by
- Белта.by
- tvr.by
В понедельник интернет-трафику из-за пределов России был полностью заблокирован доступ к сайту портала электронного правительства России. Так как отмеченный Дуг Мэдори, директор по интернет-анализу сетевой аналитической компании «Кентик», крупнейший российский интернет-провайдер «Ростелеком» прекратил анонсировать маршруты BGP для портал чтобы сдержать непрерывный шквал нежелательного трафика, который наводнил его.
В результате сайт оказался недоступен для всех, использующих IP-адреса, присвоенные за пределами России. Исключения составляют точки присутствия Microsoft Azure.
«Этот сайт, вероятно, в основном используется внутри страны, поэтому, вероятно, не имеет большого значения, что посторонние не могут получить к нему доступ», — сказал Мэдори в чате. «Однако это свидетельствует о том, что RU принимает защитные меры против атак на правительственные сайты».
Согласно пост в фейсбуке опубликовала российская энергетическая компания «Россети», зарядные станции для электромобилей в России перестали работать, когда украинская компания, поставлявшая запчасти для станций взломал их с помощью бэкдора в системах управления зарядными устройствами. Вместо подзарядки транспортных средств на станциях отображалось сообщение о том, что сказалсреди прочего: «СЛАВА УКРАИНЕ / СЛАВА ГЕРОЯМ / ПУТИН — ДУРА / СМЕРТЬ ВРАГУ».
В то время как большая часть внимания была сосредоточена на использовании Украиной DDoS-атак для нарушения работы или полной блокировки российских сайтов, эта небольшая страна также подвергалась злонамеренным хакерским атакам. На прошлой неделе исследователи из охранной фирмы ESET сказал его исследователи обнаружили невиданное ранее вредоносное ПО для очистки данных, установленное на сотнях компьютеров в Украине.
Ломать. #ESETИсследования обнаружил новую вредоносную программу для очистки данных, используемую сегодня в Украине. Телеметрия ESET показывает, что он был установлен на сотнях машин в стране. Это следует за DDoS-атаками на несколько украинских сайтов сегодня утром 1/n
— Исследование ESET (@ESETresearch) 23 февраля 2022 г.
Исследователи из Symantec скоро подтвердил выводы. Они также обнаружили вредоносное ПО, нацеленное на банки и организации оборонной, авиационной и ИТ-сфер Украины.
А технический анализ Хуан Андрес Герреро-Сааде, главный исследователь угроз в SentinelOne, сказал, что HermeticWiper, как было названо новое вредоносное ПО, следует «испытанной и проверенной технике» злоупотребления безопасным драйвером управления разделами для безвозвратного уничтожения данных, хранящихся на жестких дисках.
Два предыдущих очистителя — Destover от северокорейской Lazarus Group и Shamoon от группы, известной как APT33, — злоупотребляли драйвером Eldos Rawdisk, чтобы получить прямой доступ пользователя к файловой системе без вызова Home windows API. Герреро-Сааде сказал, что HermeticWiper использует аналогичную технику, злоупотребляя другим драйвером, empntdrv.sys.
На прошлой неделе исследователи безопасности заявили, что самая беспощадная хакерская группа России развернул новое вредоносное ПО для заражения сетевых устройств, чтобы их можно было использовать для кражи паролей и других конфиденциальных данных или в качестве прокси для сокрытия кибератак на другие организации. Украинские сайты также были сделал недоступным в DDoS-атаках.
Хакеры, работающие от имени российского правительства, в прошлом стояли за очень разрушительными атаками, наиболее известным из которых является Атака вайпера NotPetya что вызвало 10 миллиардов долларов убытков для компаний по всему миру. Российские хакеры также отключили энергосистему Украины. только раз но дважды.