Cyberkriget i full gång i Ukraina

Det pågår et intensivt cyberkrig i Ukraina. Arkivbild

Säkerhetsleverantören Logpoint har analyserat vilka slags attacker som används i kriget mot Ukraina just nu. Det är främst fyra metoder som utnyttjas, bland annat överbelastningsattacker, phishingattacker och den skadliga programvaran Wiper. Aktörer från såväl Ryssland som Belarus anses ligga bakom attackerna. Logpoint kartlägger kontinuerligt vilka säkerhetshot som cirkulerar, och har nu därför satt samman en rapport om de vanligaste säkerhetsutmaningarna som har koppling till kriget i Ukraina. Det handlar främst om fyra olika typer av attacker:

Dagen före invasionen av Ukraina upptäcktes en ny ”disk wiper”, en typ av skadlig programvara, som attackerat flera mål i Ukraina. Bland de som utsatts finns en finansiell verksamhet i Ukraina och två underleverantörer till ukrainska regeringen, som är baserade i Lettland och Litauen. Dessutom har forskare från ESET varnat för att samma skadliga programvara installerats på hundratals datorer runt om i Ukraina. Denna wiper fick namnet ”HermeticWiper” och är ovanligt bra på att ta sig förbi Windows säkerhetsfunktioner på attackerade datorer. Den kan bland annat förstöra filer så att de inte kan återskapas.

En grupp baserad i Minsk i Belarus ligger bakom phishingattacker som bland annat riktats mot ukrainska soldater. Gruppen kallas GhostWriter eller UNC1151 och de som ingår i den är officerare på landets försvarsdepartement. Gruppen är känd sedan tidigare och har då spridit desinformation om NATO, bland annat gjort genom att hacka webbplatser och skicka meddelanden med fejkade avsändare. De har också genomfört påverkansoperationer inför valet i Belarus 2020. 

Överbelastningsattacker, Distributed Denial of Service, DDoS, är tänkta att stänga ner de webbplatser som attackeras. Det har pågått attacker åt båda hållen länge men i början av februari satte Ryssland igång en hel serie nya angrepp. Dessa fokuserade på civila mål som banker såväl som försvarsrelaterade webbplatser. Attackerna rapporteras vara arrangerade av ryska militära underrättelsetjänsten GRU.

Ryssland har därefter regelbundet fortsatt med nya DDoS-attacker. I början av mars upptäcktes det att ryska grupper använder DanaBot, en plattform för skadlig programvara, för att attackera ukrainska försvarsdepartementets webbplatser. Dessa gruppers koppling till ryska regeringen är dock oklar.

En rad ukrainska webbplatser har hackats, och det kan även här vara den ryska staten som ligger bakom. Ryska statens budskap har också synts på västerländska webbplatser som hackats. Ofta tycks det vara ryska aktivister som ligger bakom men detta kan också vara ett sätt att dölja statlig inblandning. Även ryska militära webbplatser har attackerats, på liknande sätt men av aktörer på konfliktens andra sida.

För att undvika att drabbas av attackerna rekommenderar Logpoint en rad åtgärder, bland annat att verksamheter använder Endpoint Detection, EDR, övervakar all fjärraccess, använder multifaktorautenticering, ser till att alla säkerhetsuppdateringar genomförts samt använder övervakningsverktyg såsom SIEM och verktyg för att besvara attacker som SOAR.