Zhadnost Botnet

È stato scoperto che un nuovo ceppo di malware viene utilizzato negli attacchi DDoS contro l'infrastruttura digitale dell'Ucraina. Le operazioni minacciose hanno avuto luogo proprio prima e durante i primi giorni dell'invasione russa del paese dell'Ucraina. Il nome dato a questo malware botnet dai ricercatori che ne hanno analizzato le funzionalità e il codice sottostante è Zhadnost. Finora sono stati identificati tre diversi attacchi che coinvolgono la minaccia.

Dettagli dell'attacco

Gli attori della minaccia hanno preso di mira il governo ucraino e i siti web finanziaricontinuamente. Nello specifico, i loro target risultano essere i siti web appartenenti alle seguenti 7 entità:

• Ministero degli Affari Esteri ucraino
• Ministero della Difesa ucraino
• Ministero degli affari interni ucraino
• Servizio di sicurezza dell'Ucraina
• Gabinetto dei ministri ucraino
• Oschadbank
• banca privata

L'efficacia degli attacchi DDoS (Distributed Denial of Service) è stata minima, con i siti Web che hanno ripristinato la loro normale funzionalità in tempi relativamente brevi. Va notato che il primo attacco rilevato consisteva in una combinazione tra Zhadnost e altre botnet, mentre gli attacchi successivi sono stati effettuati esclusivamente da Zhadnost. L'attribuzione del malware a uno specifico attore di minacce non è stato possibile con le informazioni attualmente disponibili, ma è piuttosto probabile che l'organizzazione criminale informatica responsabile della botnet abbia legami con la Russia.

Dettagli della botnet Zhadnost

Finora oltre 3.000 indirizzi IP univoci sono stati identificati per essere infettati dalla botnet Zhadnost. La maggior parte dei dispositivi compromessi sono router MikroTik che sono stati violati a causa di impostazioni di ricorsione DNS configurate in modo errato o altre vulnerabilità. I bot sono stati quindi incaricati di lanciare attacchi DDoS tramite inondazioni HTTP e amplificazione DNS. Va notato che nessuno dei robot Zhadnost attualmente conosciuti si trova in Russia o Bielorussia. Invece, sono sparsi in più paesi e in diversi continenti.

Man mano che la Russia diventa più aggressiva e spietata nelle sue azioni contro l'Ucraina, gli esperti di sicurezza informatica prevedono che anche i suoi sforzi per interrompere i principali siti Web e piattaforme digitali si intensificheranno. Ciò potrebbe significare che, nonostante la mancanza di impatto dalle attuali operazioni che coinvolgono la botnet Zhadnost, il malware potrebbe essere sfruttato in attacchi più precisi contro obiettivi critici, come generatori di energia, servizi di telecomunicazione, unità militari, ecc.