Zhadnost-botnet

Uutta haittaohjelmakantaa on havaittu käytettävän DDoS-hyökkäyksissä Ukrainan digitaalista infrastruktuuria vastaan. Uhkailuoperaatiot tapahtuivat juuri ennen Venäjän hyökkäystä Ukrainaan ja useiden ensimmäisten päivien aikana. Sen toimintoja ja taustalla olevaa koodia analysoineet tutkijat antoivat tälle botnet-haittaohjelmalle nimen Zhadnost. Tähän mennessä on tunnistettu kolme erilaista hyökkäystä, joihin liittyy uhka.

Hyökkäyksen tiedot

Uhkatoimijat ovat kohdistaneet kohteen Ukrainan hallitukseen ja rahoitusverkkosivustoihinjatkuvasti. Tarkemmin sanottuna niiden kohteena näyttävät olevan verkkosivustot, jotka kuuluvat seuraaviin seitsemään kokonaisuuteen:

• Ukrainan ulkoministeriö
• Ukrainan puolustusministeriö
• Ukrainan sisäasiainministeriö
• Ukrainan turvallisuuspalvelu
• Ukrainan ministerikabinetti
• Oschadbank
• Privatbank

DDoS (Distributed Denial of Service) -hyökkäysten tehokkuus on ollut vähäistä, ja sivustot ovat palauttaneet normaalin toimintansa suhteellisen nopeasti. On huomattava, että ensimmäinen havaittu hyökkäys koostui Zhadnostin ja muiden bottiverkkojen yhdistelmästä, kun taas myöhemmät hyökkäykset suoritti vain Zhadnost. Haittaohjelman antaminen tietylle uhkatoimijalle ei ole tällä hetkellä saatavilla olevilla tiedoilla ollut mahdollista, mutta on melko todennäköistä, että bottiverkosta vastaavalla kyberrikollisjärjestöllä on siteitä Venäjään.

Zhadnost Botnet -tiedot

Tähän mennessä yli 3 000 ainutlaatuista IP-osoitetta on tunnistettu Zhadnost-bottiverkon saastuneeksi. Suurin osa vaarantuneista laitteista on MikroTik-reitittimiä, jotka on rikottu väärin määritettyjen DNS-rekursio-asetusten tai muiden haavoittuvuuksien takia. Tämän jälkeen botteja kehotettiin käynnistämään DDoS-hyökkäyksiä HTTP-tulvien ja DNS-vahvistuksen kautta. On huomattava, että yksikään tällä hetkellä tunnetuista Zhadnost-boteista ei sijaitse Venäjällä tai Valko-Venäjällä. Sen sijaan ne ovat hajallaan useissa maissa ja useilla eri mantereilla.

Kun Venäjä muuttuu aggressiivisemmiksi ja häikäilemättömämmiksi toimissaan Ukrainaa vastaan, kyberturvallisuusasiantuntijat odottavat, että myös sen ponnistelut keskeisten verkkosivustojen ja digitaalisten alustojen häiritsemiseksi tehostuisivat. Tämä voi tarkoittaa, että vaikka nykyiset Zhadnost-botnet-operaatiot eivät vaikutakaan, haittaohjelmia voitaisiin hyödyntää tarkemmissa hyökkäyksissä kriittisiä kohteita, kuten sähköntuottajia, tietoliikennepalveluja, sotilasyksiköitä jne., vastaan.