Digitale aanvallen Oekraïne: een tijdlijn | Nieuwsbericht

Tijdlijn

Overzicht uitklappen

1. September 2022

   1. Google publiceert in een blogpost dat zij een toenemend aantal financieel gemotiveerde hackersgroepen zien die zich specifiek richten op organisaties in Oekraïne. Een van deze groeperingen: UAC-0098, die zich in het verleden als ransomware initial access broker met name heeft gericht op ransomware aanvallen, richt zich nu op Oekrainse (overheids)organisaties en Europese non-profit organisaties. De actor heeft verschillende phishing aanvallen uitgevoerd, waarbij ze zich voor deden als de Nationale Cyber Politie van Oekraine, Microsoft en Starlink.

   2. Hackerscollectief Anonymous beweert de grootste taxi service in Rusland, Yandex Taxi, te hebben gehackt. Door meerdere taxi’s naar dezelfde locatie te sturen zijn diverse files in Moscow veroorzaakt.

2. Augustus 2022

   1. Het Oekraïense nucleaire agentschap Energoatom maakt melding van een Russische digitale aanval tegen zijn website. Volgens het agentschap zette de hackersgroep People’s Cyber Army 7,25 miljoen bots in om de website onbereikbaar te maken. Volgens Energoatom heeft de aanval geen impact gehad op de werking van de site.

   2. Microsoft waarschuwt voor phishing-aanvallen van de Russische hackersgroep SEABORGIUM.  Volgens Microsoft is de groep waarschijnlijk uit op spionage. SEABORGIUM richt zich voornamelijk op NAVO-landen, Scandinavië en Oost-Europa, waaronder Oekraïne. De oorlog in Oekraïne wordt door deze groep ook gebruikt als onderwerp voor phishing-mails.

      Symantec publiceert een blog over de activiteiten van de Russische APT Gamaredon. Volgens Symantec heeft Gamaredon tussen 15 juli en 8 augustus digitale aanvallen met Infostealer-malware uitgevoerd op Oekraïense organisaties. De blog volgt op de waarschuwing van CERT-UA voor phishing-emails van Gamaredon (zie update 26 juli).

   3. De pro-Russische hackersgroep Killnet beweert een DDoS-aanval te hebben uitgevoerd op defensieconcern Lockheed Martin. De groep zou ook persoonlijke gegevens hebben gestolen van medewerkers tijdens een digitale aanval en dreigen deze te publiceren.

   4. De nationale CERT van Letland, CERT-LV, meldt op Twitter dat een DDoS-aanval heeft plaatsgevonden op het Letse parlement, de Saeima. De digitale aanval vond plaats nadat de Saeima een verklaring heeft aangenomen die Rusland tot staatssponsor van terrorisme aanwijst. Volgens CERT-LV is het werk van de Saeima niet verstoord geraakt.

   5. CERT-UA registreert 203 digitale aanvallen in de maand juli. De CERT van Oekraïne meldt dat het aantal aanvallen op vertegenwoordigers van de Oekraïense staat en financiële instellingen in de maand juli is toegenomen. De twee meest gehackte sectoren zijn de (nationale en lokale) overheid, die in juli werd getroffen door 56 digitale aanvallen, gevolgd door 24 aanvallen op de veiligheids- en defensiesector.

   6. De Finse publieke omroep YLE meldt dat website van het Finse parlement is getroffen door een denial of service-aanval. Een Russische hackersgroep die zichzelf NoName057(16) noemt, zegt op zijn Telegram-kanaal achter de aanval te zitten. De aanval begon dinsdag 9 augustus rond 14.30 uur. Om 22.00 uur was de website weer bereikbaar.

      The Telegraph schrijft dat Britse autoriteiten onderzoek doen naar digitale aanvallen tegen het Britse cryptocurrency-platform Currency.com. Volgens The Telegraph voeren hackers sinds april bijna dagelijks digitale aanvallen uit op het bedrijf, nadat het zich terugtrok uit Rusland wegens de oorlog.

   7. VMWare meldt in haar jaarlijkse Global Incident Response Threat Report een toename van digitale aanvallen sinds de start van de oorlog in Oekraïne. 65% van de ondervraagde cybersecurity-professionals ziet meer digitale aanvallen sinds de Russische invasie.

   8. Meta heeft haar Quarterly Adversarial Threat Report (Q2 2022) gepubliceerd. Hierin meldt Meta dat zij afgelopen april een trollenfabriek in St Petersburg heeft ontmanteld. De trollenfabriek zou op sociale media pro-Russisch commentaar leveren over de oorlog.

   9. De Oekraïense SSU laat op haar website weten dat ze een botfarm heeft ontmanteld. De botfarm verspreidde desinformatie met als doel de sociale en politieke situatie in Oekraïne te destabiliseren. De verspreide desinformatie ging over activiteiten van de  hoogste militaire en politieke leiders in Oekraïne. Volgens de SSU maakte de makers van de botfarm gebruik van meer dan een miljoen online nep-accounts en social media groepen met meer dan 400.000 gebruikers.

3. Juli 2022

   1. CERT-UA waarschuwt voor phishing-mails, zogenaamd afkomstig van het Rode Kruis, waarin om donaties wordt gevraagd voor Oekraïense vluchtelingen. De berichten bevatten een linkje naar een phishing-site die een Oekraïense bank nabootst. Inloggegevens die op deze site worden ingevuld, belanden in de handen van de aanvallers.

   2. CERT-UA waarschuwt voor digitale aanvallen van de hackersgroep Gamaredon. De aanvallers maken gebruik van phishing-emails met een malafide bijlage. Interactie met deze bijlage resulteert in het downloaden en installeren van GammaLoad.PS1_v2-malware.

   3. Volgens de Oekraïense overheidsinstantie SSSCIP heeft een digitale aanval plaatsgevonden op de TAVR mediagroep. Onder deze mediagroep vallen negen grote Oekraïense radiostations. De aanvallers hebben op de radio desinformatie verspreid over de gezondheid van president Zelensky

   4. Na een toename van digitale aanvallen gerelateerd aan de oorlog tussen Rusland en Oekraïne waarschuwt de Europese Raad voor onaanvaardbare risico’s van spill-over-effecten, verkeerde interpretaties en mogelijk verdere escalatie. De laatste distributed denial-of-service (DDoS)-aanvallen tegen verschillende EU-lidstaten en haar partners die door pro-Russische hackersgroepen werden opgeëist, zijn een voorbeeld van het verhoogde en gespannen cyberdreigingslandschap. De EU roept lidstaten op de bewustwording van cyberdreigingen te vergroten en preventieve maatregelen te nemen om kritieke infrastructuur te beschermen.

      Het U.S. Cyber Command heeft in samenwerking met de Oekrainse veiligheidsdienst, indicatoren (IOCs) gedeeld over waargenomen malware in Oekraïne. Ook Mandiant heeft hier een blogpost met aanvullende details over gepubliceerd.

   5. Na Microsoft en Mandiant waarschuwt ook Unit42 van Palo Alto voor (spear) phishing aanvallen van de uit Rusland opererende actor APT29. De phishing e-mails worden verstuurd uit naam van een organisatie en bevatten een malafide HTML-bestand of een link naar een HTML-bestand op een cloud storage dienst zoals DropBox of Google Drive. Interactie met dit HTML-bestand resulteert in het uitvoeren van Javascript code, waarmee een ISO-bestand of IMG-bestand aan het systeem wordt toegevoegd. In het IMG- of ISO-bestand is een snelkoppeling zichtbaar. Andere bestanden, zoals EXE en DLL-bestanden, zijn onzichtbaar gemaakt. Door de snelkoppeling te openen wordt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

      Google publiceert in een blogpost dat zij door verschillende actoren, digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

   6. Cert-UA waarschuwt voor digitale aanvallen op Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De bijlage is een XLS-bestand en bevat een marco.
      De activering van de macro leidt tot het uitvoeren van het bestand “baseupd.exe”. Hierdoor raakt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

   7. Op 6 juli meldt het Letse Radio en Televisie center LVRTC, langdurige last hebben gehad van een distributed denial-of-serviceaanval (DDoS). Om de digitale aanval te beperken, heeft LVRTC de toegang tot bepaalde diensten tijdelijk beperkt. Met als gevolg dan verschillende diensten niet meer beschikbaar waren.

   8. NCSC-UK waarschuwt organisaties voor een lange periode van verhoogde dreiging door het conflict in Rusland en Oekraïne. NCSC-UK beoordeelt dat de cyberdreiging voor het VK als gevolg van het conflict blijft toenemen. Organisaties worden opgeroepen om alert te blijven en zich voor te breiden op veerkracht van de cybersecurityspecialisten binnen hun organisatie op langere termijn.

4. Juni 2022

   1. Via een desinformatiecampagne wordt een gerucht verspreidt dat Oekraïense mannelijke vluchtelingen in Polen zouden worden geïdentificeerd en teruggestuurd naar Oekraïne voor militaire dienst. Beveiligingsonderzoekers van Mandiant schrijven dit toe aan de, aan Wit-Rusland gelieerde actor GhostWriter.

      Volgens de Oekraïense overheidsinstantie SSSCIP is de intensiteit van cyberaanvallen op Oekraïne niet afgenomen. Sinds het begin van de oorlog, 24 februari 2022, hebben er bijna 800 cyberaanvallen plaatsgevonden.

       

   2. CERT-UA waarschuwt voor digitale aanvallen op telecombedrijven in Oekraïne. Er wordt gebruik gemaakt van e-mails met een malafide bijlage. De e-mails bevatten als bijlage een met wachtwoord bescherm RAR-bestand met hierin een Excel-bestand met macro. Interactie met het bestand resulteert in het uitvoeren van een PowerShell commando, waarmee een EXE-bestand wordt gedownload en uitgevoerd. Hierdoor raakt het systeem besmet met de DarkCrystal malware.

   3. Nadat Litouwen een verbod heeft ingesteld op alle doorvoer per spoor van Russische goederen (m.u.v. levensmiddelen en personen) naar Kaliningrad, roepen verschillende activistische groeperingen, o.a. via Telegram, op om de vitale infrastructuur van Litouwen digitaal aan te vallen.

      Cert-UA waarschuwt voor digitale aanvallen tegen Russische wetenschappelijke instanties, technische organisaties en overheidsinstanties door, aan China gelieerde, actoren. De aanvallers maken gebruik van phishing-emails met een malafide bijlage. Gebruikersinteractie met de bijlage resulteert uiteindelijk in de Bisonal malware.

      Microsoft publiceert het rapport “Defending Ukraine: Early Lessons from the Cyber War”. Het rapport bevat vijf algehele conclusies na de eerste vier maanden van het conflict tussen Rusland en Oekraïne.

   4. Cert-UA waarschuwt voor twee type aanvallen. Bij de ene wordt malafide bestand xxx.doc meegestuurd bij de ander een xxx.rtf. Beide aanvallen zorgen voor een download van een HTML-bestand en misbruiken de kwetsbaarheid CVE-2022-30190. Bij het doc bestand wordt Cobalt Strike malware uitgevoerd en bij het rtf bestand wordt de CredoMap malware ingezet.

      Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190.

   5. De actor Killnet roept via Telegram verschillende ransomware actoren als Conti en Revil op om gezamenlijk organisaties in de Verenigde Staten, Italië en Polen digitaal aan te vallen.

      Volgens een woordvoerder van het Kremlin heeft een distributed denial-of-service (DDoS) aanval er op vrijdag voor gezorgd dat de speech van president Poetin op het International Economic Forum in St. Petersburg met een uur is uitgesteld.

   6. De Wit-Russische hacktivistische actor Belarusian Cyber Partisans claimt toegang te hebben tot getapte gesprekken van onder andere de Russische ambassade in Wit-Rusland. Het zou gaan om opnames tussen 2020 en 2021.

   7. Hackerscollectief Anonymous beweert een Russische drone fabrikant te hebben gehackt. Hierbij heeft de actor afbeeldingen gepubliceerd van een deel van de bemachtigde informatie.

   8. De website van het Russische ministerie van Bouw, Huisvesting en Voorzieningen verwees na een digitale aanval naar een pro Oekrainse bericht: “Glory to Ukraine”. De hackers eisten ook losgeld om het lekken van persoonlijke gegevens van de websitegebruikers te voorkomen.

      Volgens RIA, een Russisch staatsnieuwsmedium, bevestigde een vertegenwoordiger van het ministerie dat de site offline was, maar dat gebruikersgegevens niet werden gecompromitteerd.

   9. De uitzending van de kwalificatiewedstrijd voor het WK voetbal op 5 juni tussen Wales en Oekraïne, werd in Oekraïne onderbroken door een digitale aanval die gericht was op OLL.TV. Volgens SSSCIP hebben kwaadwillende toegang verkregen tot een Content Delivery Network (CDN) en vervolgens het verkeer weten om te leiden. Als gevolg hiervan toonde verschillende Oekraïense tv-zenders Russische propaganda. OLL.tv heeft de aanval bevestigd op Facebook.

   10. CERT-UA waarschuwt voor digitale aanvallen op verschillende Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De e-mails bevatten een document, die een link bevat naar een extern HTML-bestand met JavaScript code. De uitvoering van dit HTML-bestand resulteert in de misbruik van de kwetsbaarheden CVE-2021-40444 en CVE-2022-30190, waardoor een PowerShell commando wordt uitgevoerd. Het PowerShell commando download en voert een EXE-bestand uit, waardoor het systeem besmet raakt met het kwaadaardige programma Cobalt Strike Beacon. Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190

   11. In een interview met Sky News bevestigd de Amerikaanse Generaal Paul Nakasone dat de Verenigde Staten offensieve digitale aanvallen heeft uitgevoerd ter ondersteuning aan Oekraine.

5. Mei 2022

   1. Anonymous beweert Wit-Russische overheidswebsites te hebben aangevallen als vergelding voor de mogelijke Wit-Russische steun aan de Russische invasie.

   2. Onderzoekers van beveiligingbedrijf Sekoia hebben digitale verkenningsactiviteiten waargenomen van de Russische actor TURLA. De bevindingen komen voort uit eerdere bevindingen van Google’s Threat Analysis Group (TAG), zie ook het bericht van 3 mei 2022 op deze tijdlijn. De activiteiten waren gericht op de Baltic Defence College, de Austrian Economic Chamber en NATO’s eLearning platform genaamd JADL. De Austrian Economic Chamber is in Oosterijk betrokken bij de uitvoering van sancties tegen Rusland.

   3. Pro Russische hackers hebben digitale aanvallen uitgevoerd op diverse Italiaanse overheidsinstituties. Op vrijdag 20 mei tweet de Italiaanse ambassade in London dat de website van het Italiaanse ministerie van Buitenlandse Zaken en haar ambassades beperkt bereikbaar zijn door digitale aanvallen.

   4. De Italiaanse autoriteiten hebben DDoS-aanvallen van de actor Killnet beperkt. Deze aanvallen vonden plaats tijdens de live-optredens en de stemmingsronden van het Eurovisie Songfestival. In reactie op de mislukte poging heeft de actor aangegeven digitale aanvallen te gaan uitvoeren op websites van organisaties in: Verenigde Staten, Verenigd Koninkrijk, Duitsland, Letland, Roemenië, Estland, Polen, Oekraïne, Litouwen en Italië.

   5. De actor KillNet heeft op 12 mei DDoS-aanvallen uitgevoerd op diverse websites van Italiaanse overheidsinstanties en bedrijven.

      Op dezelfde dag waarschuwt het CERT-UA voor emails met als onderwerp “Щодо проведення акції помсти у Херсоні!” (“Met betrekking tot de wraakactie Cherson!”). Deze e-mails bevatten een HTM-bestand. Bij interactie met het bestand wordt uiteindelijk de malware “gammaload.ps1_v2” gedownload. CERT-UA schrijft deze aanval toe aan de Russische actor UAC-0010 (Gamaredon).

   6. Afgelopen dinsdag, 10 mei, hebben de Europese Unie en internationale partners afkeurend gereageerd op de digitale aanval op het satellietnetwerk Ka-Sat. Deze aaval wordt toegeschreven aan de Russische Federatie. De digitale aanval vond kort voor de Russische invasie op 24 februari 2022 plaats en heeft aanzienlijke gevolgen gehad bij verschillende overheids¬instanties, bedrijven en burgers in Oekraïne. De digitale aanval zorgde ook voor spill-over-effecten bij verschillende lidstaten van de Europese Unie. 

   7. Verschillende media melden dat door een digitale aanval Russische satelliettelevisiemenu’s  vlak voor de Victory day parade in Moscow verschillende anti-oorlogsleuzen vertoonden.

   8. CERT-UA waarschuwt voor e-mails met als onderwerp “хімічної атаки” (chemische aanval). De e-mails bevatten een link naar een .XLS-document met een macro. Wanneer de macro wordt geactiveerd, download en voert het een malware uit. Hierdoor raakt de computer besmet met het kwaadaardige programma JesterStealer. Het kwaadaardige programma steelt (gevoelige) informatie van de besmette computer en verstuurt het vervolgens naar de aanvaller. 

   9. Google publiceert in een blogpost dat zij door verschillende actoren digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

      •  De vanuit Rusland opererende actor APT28 (ook bekend als Fancy Bear) richt zich met een nieuwe malware variant op gebruikers in Oekraïne. De malware wordt per email verspreid via met een wachtwoord beveiligde zip bestand.
      • De organisatie heeft wederom activiteit vanuit de uit Rusland opererende actor Coldriver waargenomen (zie update 31 maart in deze tijdlijn). Volgens Google zou deze actor phishing pogingen hebben gedaan op onder meer een overheidsmedewerkers, politici, NGO’s en journalisten.
      • De vanuit China opererende actor Curious Gorge heeft lang lopende campagnes voortgezet tegenover meerdere overheids-, productie-, defensie-, en logistieke-organisaties in Rusland en Oekraïne.  
      • Google heeft digitale aanvallen waargenomen door de aan Rusland gelieerde actor Turla. De actor richtte zich op de Baltische staten en probeerde defensieorganisaties en cybersecuritybedrijven te compromitteren.
      • En tot slot meldt Google dat door de actor Ghostwriter (Belarus) nog altijd actief phishing aanvallen worden uitgevoerd richting Oekraïense burgers.

   10. Het Britse ministerie van Buitenlandse Zaken zegt, op basis van extern onderzoek, te weten dat Rusland desinformatie over de oorlog in Oekraïne verspreid via een ‘trollenfabriek’. Volgens het ministerie zijn accounts van verschillende politici en specifieke mensen, uit het VK, India en Zuid-Afrika, benaderd.
       Het onderzoek laat volgens de Britse experts zien hoe de grootschalige desinformatiecampagne van het Kremlin is ontworpen om de internationale publiek over de oorlog in Oekraïne te manipuleren.

6. April 2022

   1. 28 april Cert-UA heeft in samenwerking met CSIRT-NBU, distributed denial-of-service (DDoS) aanvallen op diverse Oekraïense (overheids)organisaties waargenomen. Hierbij zijn gecompromitteerde websites ingezet. De websites zijn gecompromitteerd door het plaatsen van malafide Javascript code (BrownFlood) in de structuur van de website. Als gevolg hiervan genereren websitebezoekers grootte hoeveelheden requests naar specifieke doelwitten, in dit geval diverse Oekraïense (overheids)organisaties.

   2. Microsoft heeft een rapport uitgebracht met details over Russische digitale aanvallen die zijn waargenomen tijdens de oorlog tussen Rusland en Oekraïne. Sinds de Russische invasie heeft Microsoft meer dan 200 digitale aanvallen tegen Oekraïense organisaties en burgers waargenomen. Een aantal van deze digitale aanvallen lijken afgestemd te zijn op kinetische militaire operaties, aldus Microsoft. Het rapport bevat een gedetailleerde tijdlijn van de Russische digitale aanvallen en is uitgebracht om organisaties waaronder vitale aanbieders en Rijksoverheid te helpen de weerbaarheid te verhogen.

   3. De nationale postdienst van Oekraïne, Ukrposhta, is na het introduceren van een nieuwe postzegel, getroffen door een DDoS-aanval. Op de postzegel is een Oekraïense soldaat afgebeeld, die een offensief gebaar maakt naar het nu gezonken Russische oorlogsschip Moskva.

   4. De Verenigde Staten, Australië, Nieuw-Zeeland, Canada en het Verenigd Koninkrijk plaatsen op de website van CISA een gezamenlijke waarschuwing voor cyber activiteit gericht op de kritieke infrastructuur vanuit Russische statelijke en criminele actoren. Deze activiteiten kunnen plaatsvinden als reactie op de opgelegde sancties, evenals materiële steun die wordt verleend door de westerse bondgenoten en partners.

   5. De aan Rusland gelieerde actor Shuckworm (ook bekend als Gamaredon en Armageddon) blijft zich voortdurend richten op organisaties in Oekraïne. Het maakt hierbij gebruik van verschillende versies van de malware Backdoor.Pterodo. De frequentie van de aanvallen zorgt dat het een van de belangrijkste cyberbedreigingen blijft waarmee organisaties in de regio worden geconfronteerd.

   6. CERT-UA waarschuwt voor phishing mails uit hun naam met als onderwerp “Srochno!” (Dringend!). De e-mails zijn gericht op Oekraïense organisaties en bevatten een .XLS bijlage met daarin een macro. Wanneer de macro wordt geactiveerd, download en voert het een bestand uit en raakt vervolgens de computer besmet met Cobalt Strike Beacon malware.

   7. De activistische Hackgroep KillNet heeft DDoS-aanvallen uitgevoerd op verschillende websites van luchthavens, transport en overheidsorganisaties in Europa. Dit heeft voor sommige organisaties geresulteerd in het tijdelijk niet meer bereikbaar zijn van de website.

   8. Beveiligingsbedrijf ESET en de Oekraïense CERT CERT-UA hebben bij een aanval op een Oekraïens energiebedrijf nieuwe malware, Industroyer2, ontdekt die zich richt op ICS-systemen. Bij de aanval is ook andere malware gebruikt, waaronder verschillende wipers. Zie voor meer details over deze malware de websites van ESET en CERT-UA. De aanval is volgens ESET en CERT-UA succesvol afgeslagen.

   9. Op 8 april zorgde een denial-of-service aanval ervoor dat de websites van de Finse ministeries van Defensie en Buitenlandse Zaken tijdelijk onbereikbaar waren. De aanval begon rond het middaguur, terwijl de Oekraïense president Zelensky het Finse parlement toesprak. 

   10. Microsoft laat weten dat het digitale aanvallen op Oekraïne heeft weten te voorkomen. Het gaat om een aanval van Strontium, een Russische statelijke actor die gerelateerd wordt aan de inlichtingendienst GRU. Strontium probeerde Oekraïense overheidsorganisaties en mediabedrijven te compromitteren en richtte zich daarnaast op overheidsorganisaties en denktanks in de EU en VS die betrokken zijn bij internationale betrekkingen. In de aanval maakte Strontium gebruik van 7 malafide internetdomeinen om toegang te verkrijgen tot de slachtoffers.

   11. CERT-UA bericht dat er verschillende malafide bestanden zijn aangetroffen die gebruikt kunnen worden bij een spearphishing-aanval. Deze bestanden hadden Engelstalige namen en waren gericht op een overheidsorganisatie in Letland. CERT-UA schrijft deze aanval toe aan UAC-0010 (Armageddon).

       Op dezelfde dag bericht CERT-UA ook dat Oekraïense overheidsorganisaties doelwit van Armageddon zijn geweest. Ook hier ging het om een spearphishing-aanval. Doelwitten ontvingen malafide bestanden met persoonsgegevens van vermeende oorlogsmisdadigers.

7. Maart 2022

   1. Google publiceert een blog over de vanuit Rusland opererende actor Coldriver. Deze actor zou phishing pogingen hebben gedaan op onder meer een afdeling van de NAVO. Google heeft geen aanwijzingen dat deze pogingen succesvol zijn geweest. Deze groep is al sinds 2015 actief en heeft in het verleden verschillende doelen aangevallen zoals ministeries, ngo’s en journalisten.

   2. Een grote DDoS aanval op de Oekraïense internetserviceprovider Ukrtelecom zorgt ervoor dat diensten voor klanten van deze provider tijdelijk onbereikbaar zijn.

   3. Een Russische internetprovider doet een kortstondige BGP hijack van de Twitter adresruimte. De BGP-aankondiging heeft uiteindelijk weinig effect omdat Twitter de BGP aankondigingen beschermt met RPKI.

   4. Drie Russische spionnen hebben zich vijf jaar lang gericht op energie-infrastructuur in 135 landen in een poging de Russische regering in staat te stellen elektriciteitscentrales op afstand te besturen, dat beweert het Amerikaanse Ministerie van Justitie in een aanklacht die op 24 maart bekend werd gemaakt.

      Hackergroepring Anonymous roept op Twitter bedrijven op zich terug te trekken uit Rusland. De groep geeft bedrijven 48 uur de tijd om zich terug te trekken, anders zullen zij Anonymous doelwit worden. Eerder heeft Anonymous gegevens van Russische bedrijven gepubliceerd.

   5. Cert-UA maakt melding van een nieuwe wiper malware genaamd Double Zero. Deze malware wordt verspreid via .zip-bestanden.

   6. De Amerikaanse president Joe Biden waarschuwt bedrijven in zijn land voor potentiele Russische cyberaanvallen, onder andere als reactie op de westerse sancties tegen Rusland.

   7. Cert-UA waarschuwt voor aanvallen door hacker groepering InvisiMole. Deze groepering wordt gelinkt aan de Russische APT Gamaredon.  

   8. Hackersgroep Anonymous waarschuwt Westerse bedrijven de banden met Rusland te verbreken en dreigt met gerichte acties.

   9. Security Affairs bericht over een destructieve Node-IRP package (malware-aanval) gericht op organisaties in Rusland en Belarus.

   10. Het Computer Emergency Response Team van Oekraïne (CERT-UA)  maakt melding van een phishing campagne waarbij uit naam van de Oekraïense overheid massaal mails worden verstuurd. Voor de aanvallen wordt gebruik gemaakt van Cobalt Strike, Grimplant en GraphSteel.

       Daarnaast heeft ESET in Oekraïne een nieuwe wiper malware met de naam Caddywiper ontdekt. Wiper malware doet zich voor als ransomware, alleen kunnen beschadigde systemen of bestanden niet hersteld worden. 

   11. Anonymous heeft 20 terabyte aan data gelekt na een digitale aanval op de Duitse vestiging van het Russische Rosneft. De Duitse inlichtingendienst BSI heeft als reactie hierop vitale sectoren gewaarschuwd. 

   12. Der Spiegel meldt dat de Duitse  BSI, onderdeel van het Duitse ministerie van Binnenlandse Zaken, waarschuwt voor een digitale aanval. Het zou hier gaan om een aanval op de kritieke infrastructuur als gevolg van de hulp die Duitsland aan Oekraïne biedt sinds het begin van de oorlog.

   13. De Oekraïense SSU meldt dat websites van lokale overheden zijn gehackt om berichten van overgave te plaatsen. De SSU laat op Twitter weten dat het gaat om desinformatie en roept burgers op deze informatie niet voor waar aan te nemen. Ook de Oekraïense ambassade in het Verenigd Koninkrijk laat weten last te hebben van digitale aanvallen en daardoor slecht bereikbaar te zijn.

   14. De Oekraïense overheid roept techbedrijven op om zakelijke relaties met Rusland te verbreken. Verschillende techbedrijven stoppen (deels) met hun dienstverlening aan Rusland. Daarnaast meldt cybersecurity bedrijf Proofpoint spearphishingaanvallen op Europese overheidsinstanties door verschillende statelijke actoren. Het doel lijkt dat deze actoren meer inzicht proberen te krijgen in de opvang en migratie van Oekraïners.

   15. Onderzoekers van Wordfence hacks melden  op websites van diverse Oekraïense universiteiten tijdens de start van de invasie. Wordfence schrijft de aanvallen toe aan de actor theMx0nda. Deze groep heeft openlijk verklaard Rusland te steunen in haar oorlog tegen Oekraïne.

8. Februari 2022

   1. De Belarusian Cyber-Partisans claimen wederom een digitale aanval op de spoorwegen in Belarus te hebben uitgevoerd om Russische troepenverplaatsingen te dwarsbomen. Een actueel overzicht van cybergroeperingen die zich in het conflict hebben gemengd, inclusief statelijke actoren als Sandworm, is hier te vinden.

      De laatste ontwikkelingen in ogenschouw genomen heeft het NCSC een handelingsperspectief en dreigingspecifieke maatregelen gepubliceerd. Op dit moment worden er geen actieve digitale aanvallen op Nederland of Nederlandse belangen waargenomen.

   2. De Oekraïense minister van Digitale Transformatie roept hackers wereldwijd op om zich aan te melden voor een “Oekraïens IT leger”. 

   3. Ransomware-groepering Conti laat in een verklaring weten zich achter Rusland te scharen. Om Rusland te ondersteunen dreigt Conti met aanvallen op kritieke infrastructuur van landen die zich tegen Rusland keren. Ransomware-concurrent LockBit daarentegen meldt zich in deze oorlog afzijdig te houden en uitsluitend gemotiveerd te zijn door financiële doeleinden.

   4. Na de invasie van Russische troepen in Oekraïne hebben diverse niet-statelijke actoren zich in het conflict gemengd. Diezelfde avond verklaart hackers-collectief Anonymous de oorlog aan Rusland. Vervolgens claimen vrijwilligers aangesloten bij dit collectief diverse Russische overheids- en mediawebsites middels DDoS-aanvallen offline te hebben gehaald. Ook claimt deze groep vrijwilligers gevoelige data van het Russische ministerie van defensie in handen te hebben. Deze claims kunnen niet altijd worden geverifieerd, wat onduidelijkheid en verwarring kan veroorzaken. 

   5. Er worden hevige DDoS-aanvallen uitgevoerd die gericht zijn op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar. Het gaat daarbij onder andere om de websites van diverse ministeries. Gelijktijdig worden er meerdere phishingcampagnes waargenomen. 

      Daarnaast maken gedurende de avond van 23 februari diverse partijen melding van een nieuwe wiper malware die zij hebben aangetroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

   6. De Oekraïense CERT-UA publiceert een website bericht over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer.

   7. Er vinden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne worden geraakt. Op 15 februari vindt ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er is geen sprake van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.

9. Januari 2022

   1. CERT Ukraine (CERT UA) publiceert een deel van het onderzoek naar zowel de defacements als de aanval met de malware. In dit onderzoek worden grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

      Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

   2. Microsoft publiceert een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

   3. De Oekraïense veiligheidsdienst SSU geeft een statement af over een aanval op websites van diverse overheidspartijen. Hierbij worden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch wordt aangegeven dat persoonlijke gegevens van Oekraïense burgers zijn gestolen en dat burgers zich moeten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU wordt duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikt over verhoogde rechten binnen de omgeving waardoor de websites kunnen worden aangepast.

Overzicht uitklappen