Hackinggrupper startar “cyber proxy-krig” över Ukrainas attacker frĂ„n Ryssland

Hackinggrupper startar


Rysslands oprovocerade invasion av Ukraina leder till att hackare över hela vĂ€rlden ökar sina aktiviteter – i vissa fall för att stödja en sida, eller möjligen bara för att dra nytta av kaoset.

Sedan invasionen av Ukraina tidigare i veckan Ă€r hackerkollektivet Anonymous, gĂ€nget Conti ransomware och en hotaktör i Vitryssland bland dem som verkar ha blivit mer aktiva – eller Ă„tminstone uttryckt avsikter att vara. Samtidigt utfĂ€rdade den amerikanska byrĂ„n för cybersĂ€kerhet och infrastruktursĂ€kerhet (CISA) en varning pĂ„ torsdagen om ett vĂ€xande hot frĂ„n en iransk aktör för avancerad ihĂ„llande hot (APT).

Under det kalla kriget utkĂ€mpade “supermakterna mĂ„nga smĂ„ krig genom proxy”, sa Sam Curry, CSO pĂ„ Cybereason. “Idag kan vi förvĂ€nta oss att ett cyberproxykrig kommer att uppstĂ„.”

Anonym

Anonymous har förklarat sig vara i linje med “vĂ€sterlĂ€ndska allierade” och sagt att de bara kommer att rikta in sig pĂ„ operationer i Ryssland. Gruppen har publicerat ett antal pĂ„stĂ„enden pĂ„ Twitter.

“Anonymous-kollektivet Ă€r officiellt i cyberkrig mot den ryska regeringen”, twittrade gruppen.

PÄ torsdagen hÀvdade Anonymous pÄ Twitter att de slog ner mÄnga webbplatser som Àr associerade med den ryska regeringen. Dessa inkluderar en statlig nyhetssajt, RT News, som enligt uppgift bekrÀftade att den hade upplevt en DDoS-attack (distributed denial-of-service).

Anonym kallade nyhetssajten “propaganda” och sa att DDoS-attacken utfördes “som svar pĂ„ Kremls brutala invasion av #Ukraina.”

Sedan pĂ„ fredagen twittrade Anonymous att den “framgĂ„ngsrikt har brutit mot och lĂ€ckt databasen för det ryska försvarsministeriets webbplats” och pĂ„stod sig ha postat “all privat data frĂ„n den ryska MOD.” (Tweten togs sedan ner eftersom den “bröt mot Twitter-reglerna”, sĂ€ger sajten.)

Gruppen hade tidigare twittrat en video, med sin signatur Guy Fawkes-maskerade figur, och sagt att “om spĂ€nningarna fortsĂ€tter att förvĂ€rras i Ukraina, dĂ„ kan vi ta industriella kontrollsystem som gisslan.”

Anonymous engagemang Ă€r inte en överraskning, eftersom gruppen Ă€r “vĂ€lkĂ€nd för att ha en principiell stĂ„ndpunkt i Ă€mnen och sedan agera eller hĂ€mnas via Internet”, sĂ€ger Casey Ellis, grundare och CTO pĂ„ Bugcrowd.

En andra hackergrupp som pÄstÄs ha avslöjat avsikter att stödja Ukraina Àr Ghost Security, Àven kÀnd som GhostSec, som tros vara en utlöpare av Anonymous.

Conti

OcksĂ„ föga överraskande kastade Conti – som tros vara en statligt sponsrad grupp som verkar frĂ„n Ryssland och Ă€r ansvarig för hundratals ransomware-attacker de senaste Ă„ren – sitt stöd bakom den ryska sidan.

Enligt rapporter, postade Conti ett meddelande pĂ„ sin webbplats pĂ„ den mörka webben, och sa att “Conti-teamet tillkĂ€nnager officiellt ett fullt stöd frĂ„n den ryska regeringen.”

“Om nĂ„gon kommer att besluta sig för att organisera en cyberattack eller nĂ„gon krigsverksamhet mot Ryssland, kommer vi att anvĂ€nda alla vĂ„ra resurser för att slĂ„ tillbaka mot en fiendes kritiska infrastruktur”, heter det i meddelandet, enligt rapporter.

Uttalandet “representerar den första stora cyberkriminella gruppen som offentligt stöder den ryska krigsinsatsen”, sĂ€ger Chris Morgan, senior cyberhotsunderrĂ€ttelseanalytiker pĂ„ Digital Shadows.

Det kommer ocksĂ„ efter mĂ„nga varningar frĂ„n amerikanska tjĂ€nstemĂ€n, som har betonat att “risken frĂ„n ransomware-aktivitet kan eskalera nĂ€r sanktioner pĂ„verkar Ryssland”, sa Morgan.

Digital Shadows har identifierat Conti som den nĂ€st mest aktiva ransomware-gruppen 2021, efter antal offer, och har tillskrivit gruppen flera attacker mot kritisk nationell infrastruktur – inklusive den förödande ransomware-attacken mot Irlands sjukvĂ„rd i maj 2021.

Contis stĂ€llningstagande Ă€r “anmĂ€rkningsvĂ€rt i ljuset av Rysslands senaste tillslag mot cyberbrottslighet och ransomware”, sa Ellis. “Det signalerar för mig att de antingen agerar sjĂ€lvstĂ€ndigt som de andra grupperna verkar vara, eller möjligen verkar med Kremls vĂ€lsignelse.”

Andra grupper

Samtidigt, i Ukraina, anklagade landets Computer Emergency Response Team (CERT) “UNC1151”, en hackergrupp vars “medlemmar Ă€r officerare frĂ„n Republiken Vitrysslands försvarsministerium”, för en vĂ„g av nĂ€tfiskeattacker.

Attackerna riktade sig mot ukrainsk militĂ€rpersonal, sĂ„vĂ€l som “relaterade individer”, sa CERT i ett Facebook-inlĂ€gg.

Minst tvĂ„ andra hackergrupper har meddelat att de stöder Ryssland: The Red Bandits (en sjĂ€lvbeskriven “cyberbrottsgrupp frĂ„n Ryssland”, som har twittrat pĂ„stĂ„enden om cyberattacker mot Ukraina den hĂ€r veckan) och CoomingProject (en ransomware-grupp som beskrivs som ” sporadiskt aktiv”).

Grumligt vatten

Mitt under de ryska attackerna mot Ukraina i torsdags, postade CISA en varning om MuddyWater, en statligt sponsrad iransk APT. Gruppen har observerats “bedriver cyberspionage och andra skadliga cyberoperationer riktade mot en rad statliga och privata organisationer inom sektorer – inklusive telekommunikation, försvar, lokala myndigheter och olja och naturgas – i Asien, Afrika, Europa och Norden Amerika”, skrev CISA i ett inlĂ€gg.

Tidpunkten för avslöjandet “Ă€r intressant med cyberattackerna och konflikten i Ukraina som utspelar sig parallellt”, sĂ€ger Drew Schmitt, huvudanalytiker för hotintelligens för GuidePoint Security.

Avslöjandet antyder möjligheten “det hĂ€r kan vara Iran som intensifierar sin verksamhet baserat pĂ„ en distraherad vĂ€rldsbild”, Ă€ven om det inte Ă€r definitivt, sa Schmitt.

Generellt sett visar utvecklingen att allt eftersom fler nationer utvecklar cyberkapacitet, kommer fler att spela, enligt John Bambenek, huvudhotsjĂ€gare pĂ„ Netenrich. Och “det finns ingen bĂ€ttre trĂ€ningsplats för nationalstatsaktörer Ă€n att spela i en aktiv krigszon”, sa Bambenek.

Ta tillfÀllet i akt

Utan tvekan kommer vissa grupper – och nationalstatsaktörer – att anvĂ€nda invasionen av Ukraina som en möjlighet att eskalera sina pĂ„gĂ„ende cyberattacker “mitt i det globala kaoset”, sĂ€ger Richard Fleeman, vicepresident för penetrationstester pĂ„ Coalfire.

NĂ€r vi ser framĂ„t, “Jag tror att vi kommer att se den stĂ€ndiga upptrappningen,” sa Fleeman. “Dessa grupper trivs med sentiment och kommer sannolikt att fortsĂ€tta att bygga fart baserat pĂ„ sina mĂ„l.”

Curry höll med och sa att fler grupper “kommer att samlas, och i förvirringen kommer andra aktörer att genomföra operationer med rimlig förnekelse.”

“LĂ„t oss alla hoppas att förnuftet rĂ„der, men lĂ„t oss förbereda vĂ„r politik och vĂ„ra förberedelser med förvĂ€ntningen att freden förmodligen Ă€r lĂ€ngre bort Ă€n nĂ„gon skulle vilja,” sa han.

Ellis sa att ett problem med utvecklingen Ă€r den relativa svĂ„righeten att tillskriva i cyberattacker – sĂ„vĂ€l som möjligheten för felaktig tillskrivning eller “till och med en avsiktlig falsk flagg-operation som eskalerar konflikten internationellt.”

“OövertrĂ€ffad” situation

Även om alla industrisektorer borde vara medvetna om de möjliga Ă„terverkningarna av den ökade hackergruppens aktivitet, kan vissa sektorer i vĂ€st vara mer benĂ€gna att bli föremĂ„l för mĂ„l, sa Morgan.

Den finansiella tjĂ€nstesektorn och energisektorn skulle “utsĂ€ttas för en sĂ€rskild risk, om Ryssland-anpassade hotgrupper riktar sig mot organisationer som de bedömer som likvĂ€rdiga med de som pĂ„verkas av vĂ€sterlĂ€ndska sanktioner”, sade han.

PĂ„ mĂ„nga sĂ€tt Ă€r detta okĂ€nt territorium, med tanke pĂ„ att vĂ€rlden inte har haft ett krig som detta intrĂ€ffade vid en tidpunkt dĂ„ cyberkapaciteten var sĂ„ avancerad och utbredd. Det Ă€r en “oövertrĂ€ffad” situation, sa Danny Lopez, VD för Glasswall – men det Ă€r “inte ovĂ€ntat.”

“Cyber ​​har anslutit sig till land, hav och luft för att bli den fjĂ€rde konfliktteatern”, sa Lopez. Och oavsett om det Ă€r statligt sponsrade grupper eller deras ombud, “Jag tror att cyber Ă€r den nya krigsgrĂ€nsen,” sa han.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.