Zhadnost Botnet

Er is een nieuwe malwaresoort gevonden die wordt gebruikt bij DDoS-aanvallen op de digitale infrastructuur van Oekraïne. De dreigende operaties vonden plaats vlak voor en tijdens de eerste dagen van de Russische invasie van het land Oekraïne. De naam die aan deze botnet-malware is gegeven door de onderzoekers die de functionaliteiten en onderliggende code hebben geanalyseerd, is Zhadnost. Tot dusver zijn drie verschillende aanvallen met de dreiging geïdentificeerd.

Aanvalsdetails

De dreigingsactoren hebben zich gericht op de Oekraïense regering en financiële websitesdoorlopend. Meer specifiek lijken hun doelwitten de websites te zijn die behoren tot de volgende 7 entiteiten:

• Oekraïens ministerie van Buitenlandse Zaken
• Oekraïens Ministerie van Defensie
• Oekraïens ministerie van Binnenlandse Zaken
• Veiligheidsdienst van Oekraïne
• Oekraïens kabinet van ministers
• Oschadbank
• Privatbank

De effectiviteit van de DDoS-aanvallen (Distributed Denial of Service) is minimaal geweest, waarbij de websites relatief snel hun normale functionaliteit herstellen. Opgemerkt moet worden dat de eerste gedetecteerde aanval bestond uit een combinatie tussen de Zhadnost en andere botnets, terwijl de daaropvolgende aanvallen uitsluitend door Zhadnost werden uitgevoerd. Toewijzing van de malware aan een specifieke dreigingsactor was met de momenteel beschikbare informatie niet mogelijk, maar het is vrij waarschijnlijk dat de cybercrime-organisatie die verantwoordelijk is voor het botnet banden heeft met Rusland.

Zhadnost-botnetdetails

Tot nu toe zijn meer dan 3.000 unieke IP-adressen geïdentificeerd die zijn geïnfecteerd met het Zhadnost-botnet. Het merendeel van de gecompromitteerde apparaten zijn MikroTik-routers die zijn gehackt door verkeerd geconfigureerde DNS-recursie-instellingen of andere kwetsbaarheden. De bots kregen vervolgens de opdracht om DDoS-aanvallen uit te voeren via HTTP-floods en DNS-versterking. Opgemerkt moet worden dat geen van de momenteel bekende Zhadnost-bots zich in Rusland of Wit-Rusland bevindt. In plaats daarvan zijn ze verspreid over meerdere landen en verschillende continenten.

Naarmate Rusland agressiever en meedogenlozer wordt in zijn acties tegen Oekraïne, verwachten cyberbeveiligingsexperts dat zijn inspanningen om belangrijke websites en digitale platforms te verstoren, ook zullen toenemen. Dit zou kunnen betekenen dat ondanks het gebrek aan impact van de huidige operaties met het Zhadnost-botnet, de malware zou kunnen worden gebruikt voor nauwkeuriger aanvallen op kritieke doelen, zoals stroomgeneratoren, telecommunicatiediensten, militaire eenheden, enz.