Microsoft warnte am Samstagabend, dass es eine hochzerstörerische Form von Malware in Dutzenden von staatlichen und privaten Computernetzwerken in der Ukraine entdeckt habe. (Bildnachweis: Reuters)
Geschrieben von David E. Sanger
Microsoft warnte am Samstagabend, dass es eine hochzerstörerische Form von Malware in Dutzenden von staatlichen und privaten Computern entdeckt habe Netzwerke in der Ukraine, die darauf zu warten schienen, von einem unbekannten Akteur ausgelöst zu werden.
In einem Blogbeitrag sagte das Unternehmen, dass am Donnerstag – ungefähr zur gleichen Zeit, als Regierungsbehörden in der Ukraine feststellten, dass ihre Websites verunstaltet worden waren – Ermittler, die die globalen Netzwerke von Microsoft überwachen, den Code entdeckten.
Microsoft hat eine einzigartige zerstörerische Malware identifiziert, die von einem als DEV-0586 verfolgten Akteur betrieben wird und auf ukrainische Organisationen abzielt. Beobachtete Aktivität, TTPs und IOCs, die in diesem neuen MSTIC-Blog geteilt werden. Wir werden den Blog im Verlauf unserer Untersuchung aktualisieren. https://t.co/wBB82gp6TX
– Microsoft Security Intelligence (@MsftSecIntel) 16. Januar 2022
„Diese Systeme umfassen mehrere Regierungs-, gemeinnützige und IT-Organisationen, die alle in der Ukraine ansässig sind“, sagte Microsoft.
https://images.indianexpress.com/2020/08/1×1.png Top News Right Now
Klicken Sie hier, um mehr zu erfahren
Am Sonntag sagte der nationale Sicherheitsberater von Präsident Joe Biden, Jake Sullivan, dass die Regierung den Code prüfe, den Microsoft zuerst gemeldet habe. „Wir warnen seit Wochen und Monaten sowohl öffentlich als auch privat davor, dass Cyberangriffe Teil einer breit angelegten russischen Anstrengung zur Eskalation in der Ukraine sein könnten“, sagte Sullivan in CBSs „Face the Nation“ und verwies auf die lange Geschichte Russlands Einsatz von Cyberwaffen gegen das Stromnetz der Ukraine, Regierungsministerien und Handelsunternehmen.
Aber er warnte davor, dass „wir diesen Angriff noch nicht speziell zugeschrieben haben“ und dass Microsoft und andere Firmen dies auch nicht getan hätten. „Aber wir arbeiten hart an der Zuordnung“, sagte er und fügte hinzu, „es würde mich kein bisschen überraschen, wenn es am Ende Russland zugeschrieben würde.“
Der Code scheint in der ganzen Welt eingesetzt worden zu sein Zeit, als russische Diplomaten nach dreitägigen Treffen mit den Vereinigten Staaten und der NATO über die Zusammenführung russischer Truppen an der ukrainischen Grenze erklärten, dass die Gespräche im Wesentlichen in eine Sackgasse geraten seien.
Ukrainische Beamte machten zunächst eine Gruppe in Weißrussland für die Verunstaltung ihrer Regierungswebsites verantwortlich, obwohl sie sagten, sie vermuteten eine russische Beteiligung Am Sonntag berichtete The Associated Press, dass das Ministerium für digitale Entwicklung in einer Erklärung mitteilte, dass eine Reihe von Regierungsbehörden von zerstörerischer Malware betroffen seien, vermutlich dem gleichen Code, den Microsoft gemeldet habe.
„Alle Beweise deuten darauf hin, dass Russland hinter dem Cyberangriff steckt“, heißt es in der Erklärung. „Moskau führt weiterhin einen hybriden Krieg und baut aktiv seine Streitkräfte im Informations- und Cyberspace auf.“
Aber das Ministerium hat keine Beweise vorgelegt, und die frühe Zuordnung von Angriffen ist häufig falsch oder unvollständig.
Microsoft sagte, dass es die Gruppe hinter dem Eindringen noch nicht identifizieren könne, aber dass es sich nicht um einen Angreifer handele, den seine Ermittler zuvor gesehen hätten.
Der Code, wie von den Ermittlern des Unternehmens beschrieben, soll wie Ransomware aussehen – er friert alle Computerfunktionen und Daten ein und verlangt eine Gegenleistung.
Aber es gibt keine Infrastruktur, um Geld zu akzeptieren, führend Ermittler zu dem Schluss, dass das Ziel darin besteht, maximalen Schaden zuzufügen, nicht Geld zu beschaffen.
Es ist möglich, dass sich die zerstörerische Software nicht allzu weit verbreitet hat und die Offenlegung durch Microsoft die Metastasierung des Angriffs erschwert. Aber es ist auch möglich, dass die Angreifer jetzt die Malware starten und versuchen, so viele Computer und Netzwerke wie möglich zu zerstören.
„Wir haben es öffentlich gemacht, um der Regierung, Organisationen und Einrichtungen in der Ukraine die Möglichkeit zu geben Chance, die Malware zu finden und zu beheben“, sagte Tom Burt, Vice President für Kundensicherheit und Vertrauen bei Microsoft, der die Bemühungen des Unternehmens leitet, Angriffe zu erkennen und abzuwehren , Russland verlegt mehr Truppen
In diesem Fall, sagte er, haben Ermittler der Abteilung für Cyberkriminalität des Unternehmens ungewöhnliche Aktionen in den Netzwerken festgestellt, die normalerweise überwacht werden.
Warnungen wie die von Microsoft können helfen, einen Angriff abzubrechen, bevor er stattfindet, wenn Computerbenutzer darauf achten Rooten Sie die Malware, bevor sie aktiviert wird. Aber es kann auch riskant sein.
Die Enthüllung ändert das Kalkül für den Täter, der, wenn er einmal entdeckt ist, möglicherweise nichts zu verlieren hat, wenn er den Angriff startet, um zu sehen, welche Zerstörung er anrichtet.
Bisher gibt es keine Beweise dafür, dass die zerstörerische Malware von den Hackern entfesselt wurde, die sie in den ukrainischen Systemen platziert haben. Aber Sullivan sagte, es sei wichtig, zuerst eine endgültige Feststellung über die Quelle des Angriffs zu erhalten, wenn er darauf drängt, ob die Vereinigten Staaten anfangen würden, finanzielle und technologische Sanktionen zu verhängen, wenn sich Russlands Angriffe auf den Cyberspace und nicht auf eine physische Invasion beschränken würden. p>
„Wenn sich herausstellt, dass Russland die Ukraine mit Cyberangriffen bombardiert“, sagte er, „und wenn das in der kommenden Zeit so weitergeht, werden wir mit unseren Verbündeten an einer angemessenen Antwort arbeiten.“
Sullivan sagte, dass die Die Vereinigten Staaten haben mit der Ukraine zusammengearbeitet, um ihre Systeme und US-Netzwerke zu härten, falls sich die Kette von Ransomware und anderen Angriffen aus Russland in den Vereinigten Staaten beschleunigt.
Für den russischen Präsidenten Wladimir Putin war die Ukraine oft eine Prüfung Reichweite für Cyberwaffen.
Ein Angriff auf die Zentrale Wahlkommission der Ukraine während einer Präsidentschaftswahl im Jahr 2014, bei der Russland erfolglos versuchte, das Ergebnis zu ändern, erwies sich als Vorbild für die russischen Geheimdienste; Die Vereinigten Staaten stellten später fest, dass sie die Server des Democratic National Committee in den Vereinigten Staaten infiltriert hatten.
Im Jahr 2015 schaltete der erste von zwei großen Angriffen auf das Stromnetz der Ukraine die Lichter in verschiedenen Teilen für Stunden aus des Landes, einschließlich in Kiew, der Hauptstadt.
Und im Jahr 2017 wurden Unternehmen und Regierungsbehörden in der Ukraine von der zerstörerischen Software namens NotPetya angegriffen, die Lücken in einer Art von Steuervorbereitungssoftware ausnutzte, die im Land weit verbreitet war.
Der Angriff legte weite Teile der Wirtschaft und traf auch FedEx und die Reederei Maersk; US-Geheimdienstbeamte führten es später auf russische Akteure zurück.
Diese Software hat zumindest in ihrem Gesamtdesign eine gewisse Ähnlichkeit mit dem, wovor Microsoft am Samstag gewarnt hat.
Der neue Angriff würde Festplatten bereinigen und Dateien zerstören. Einige Verteidigungsexperten haben gesagt, dass ein solcher Angriff ein Vorspiel für eine Bodeninvasion durch Russland sein könnte.
Andere glauben, dass er eine Invasion ersetzen könnte, wenn die Angreifer glauben, dass ein Cyberangriff nicht die Art von finanziellen und technologische Sanktionen, die Biden versprochen hat, als Reaktion darauf zu verhängen.
John Hultquist, ein führender Cyber-Intelligence-Analyst bei Mandiant, sagte am Sonntag, dass seine Firma ihren Kunden gesagt habe, „sich auf destruktive Angriffe vorzubereiten, einschließlich solcher Angriffe sind so konzipiert, dass sie Ransomware ähneln.“
Er wies darauf hin, dass die russische Hacking-Einheit Sandworm, die seitdem eng mit dem russischen Militärgeheimdienst GRU verbunden ist, die letzten Jahre damit verbracht habe, „ausgeklügeltere Mittel für Angriffe auf kritische Infrastrukturen“ zu entwickeln, einschließlich des ukrainischen Stromnetzes. p>
„Sie haben auch den gefälschten Ransomware-Angriff perfektioniert“, sagte Hultquist und bezog sich auf Angriffe, die zunächst wie eine kriminelle Erpressung aussehen sollten, aber tatsächlich darauf abzielten, Daten zu zerstören oder einen Stromversorger, ein Wasser- oder Gasversorgungssystem lahmzulegen. oder ein Regierungsministerium.
“Sie haben das vor NotPetya gemacht und danach viele Male versucht”, fügte er hinzu.
- Die Website von Indian Express wurde GREEN wurde von Newsguard, einem globalen Dienst, der Nachrichtenquellen nach ihren journalistischen Standards bewertet, für ihre Glaubwürdigkeit und Vertrauenswürdigkeit bewertet.
