Zhadnost Botnet

En ny malware-stamme har vist sig at blive brugt i DDoS-angreb mod Ukraines digitale infrastruktur. De truende operationer fandt sted lige før og i løbet af de første dage af den russiske invasion af landet Ukraine. Navnet givet til denne botnet-malware af forskerne, der analyserede dens funktionaliteter og underliggende kode, er Zhadnost. Indtil videre er tre forskellige angreb, der involverer truslen, blevet identificeret.

Angrebsdetaljer

Trusselsaktørerne har været rettet mod den ukrainske regering og finansielle webstederløbende. Mere specifikt ser deres mål ud til at være de websteder, der tilhører følgende 7 enheder:

• Ukraines udenrigsministerium
• Ukraines forsvarsministerium
• Ukraines indenrigsministerium
• Ukraines sikkerhedstjeneste
• Det ukrainske ministerkabinet
• Oschadbank
• Privatbank

Effektiviteten af DDoS (Distributed Denial of Service)-angrebene har været minimal, hvor hjemmesiderne relativt hurtigt genopretter deres normale funktionalitet. Det skal bemærkes, at det første opdagede angreb bestod af en kombination mellem Zhadnost og andre botnets, mens de efterfølgende angreb udelukkende blev udført af Zhadnost. Tilskrivning af malwaren til en specifik trusselsaktør har ikke været mulig med de aktuelt tilgængelige oplysninger, men det er ret sandsynligt, at den cyberkriminalitetsorganisation, der er ansvarlig for botnettet, har bånd til Rusland.

Zhadnost Botnet detaljer

Indtil videre er over 3.000 unikke IP-adresser blevet identificeret til at være inficeret med Zhadnost-botnettet. Størstedelen af de kompromitterede enheder er MikroTik-routere, der blev brudt gennem forkert konfigurerede DNS-rekursionsindstillinger eller andre sårbarheder. Botterne blev derefter instrueret i at iværksætte DDoS-angreb gennem HTTP-oversvømmelser og DNS-forstærkning. Det skal bemærkes, at ingen af de i øjeblikket kendte Zhadnost-bots er placeret i Rusland eller Hviderusland. I stedet er de spredt ud over flere lande og flere forskellige kontinenter.

Efterhånden som Rusland bliver mere aggressiv og hensynsløs i sine handlinger mod Ukraine, forventer cybersikkerhedseksperter, at dets bestræbelser på at forstyrre vigtige websteder og digitale platforme også vil intensiveres. Dette kan betyde, at på trods af den manglende påvirkning fra de nuværende operationer, der involverer Zhadnost-botnettet, kan malwaren udnyttes i mere præcise angreb mod kritiske mål, såsom strømgeneratorer, telekommunikationstjenester, militærenheder osv.