SECURITY REPORT T.125

6 | SECURITY REPORT Απρίλιος 2022 EDITORIAL Σ ύμφωνα με πληροφορίες του BBC, από τις 28 Φεβρουαρίου και έπειτα, περισσότεροι από 70 κυβερνητικοί και τραπεζικοί ιστό- τοποι κατέρρευσαν στην Ουκρανία, καθώς η χώρα πλήττεται συνεχώς από κυβερνοεπιθέσεις. Οι εν λόγω επιθέσεις, έχουν στην πραγματικότητα «ακρωτηριάσει» και άλλες κρίσιμες υπο- δομές της χώρας, εξουθενώνοντας περαιτέρω την Ουκρανία καθώς αυτή προσπαθεί να αντιμετωπίσει τις ρωσικές δυνάμεις. Σύμφωνα με τον υπουργό ψηφιακού μετασχηματισμού της Ουκρανίας, Mykhailo Fedorov, αρκετοί ιστότοποι της κυβέρνησης και των τραπεζών της Ουκρανίας τέθηκαν εκτός σύνδεσης. Χρησιμοποιήθηκαν επιθέσεις DDoS, οι οποίες έχουν ως σκοπό να καταστήσουν τον υπολογιστή ή την υπηρεσία ανίκανη να δεχτεί άλλες συν- δέσεις και έτσι να μην μπορεί να εξυπηρετήσει άλλους πελάτες- χρήστες. Μία νέα έρευνα της ESET φέρνει στο φως περισσότερες πληροφορίες σχε- τικά με τις εν λόγω επιθέσεις. Όπως διαπίστωσε το τμήμα έρευνας της παγ- κόσμιας εταιρείας κυβερνοασφάλειας ESET, αρκετοί οργανισμοί στην Ου- κρανία έχουν πληγεί από κυβερνοεπίθεση που περιλάμβανε νέο κακόβου- λο λογισμικό διαγραφής δεδομένων (data wiper) με την ονομασία Herme- ticWiper και το οποίο επηρέασε εκατοντάδες υπολογιστές στα δίκτυά τους. Η επίθεση πραγματοποιήθηκε λίγες ώρες μετά από σειρά επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσε εκτός λειτουργίας αρκετές ση- μαντικές ιστοσελίδες στη χώρα. Το κακόβουλο λογισμικό που ανιχνεύθηκε από τα προϊόντα της ESET ως Win32/KillDisk.NCV, εντοπίστηκε για πρώτη φορά λίγο πριν τις 5 μ.μ. τοπική ώρα (3 μ.μ. UTC) την Τετάρτη 23/2. Η χρονοσήμανση (timestamp) του data wiper, ωστόσο, δείχνει ότι δημιουργήθηκε στις 28 Δεκεμβρίου 2021, γεγο- νός που υποδηλώνει ότι η επίθεση μπορεί να προετοιμαζόταν για αρκετό καιρό. Το ΗermeticWiper χρησιμοποίησε επώνυμους drivers δημοφιλούς λογισμικού διαχείρισης δίσκων. "Το wiper κάνει κατάχρηση νόμιμων drivers από το λογισμικό EaseUS Partition Master για να καταστρέψει δεδομένα", σύμφωνα με τους ερευνητές της ESET. Επιπλέον, οι επιτιθέμενοι χρησιμο- ποίησαν ένα γνήσιο πιστοποιητικό υπογραφής κώδικα που εκδόθηκε σε εταιρεία με έδρα την Κύπρο που ονομάζεται Hermetica Digital Ltd., εξ ου και το όνομα του wiper. Φαίνεται επίσης ότι τουλάχιστον σε μία περίπτωση, οι απειλητικοί φορείς είχαν πρόσβαση στο δίκτυο του θύματος πριν εξαπο- λύσουν το κακόβουλο λογισμικό. Ορισμένες ουκρανικές ιστοσελίδες τέθη- καν εκτός λειτουργίας μετά από ένα νέο κύμα επιθέσεων DDoS που στο- χεύουν τη χώρα εδώ και εβδομάδες. Στα μέσα Ιανουαρίου, ένα άλλο πρό- γραμμα καταστροφής δεδομένων σάρωσε την Ουκρανία. Με την ονομασία WhisperGate, το wiper μεταμφιέστηκε σε ransomware και είχε κάποια κοι- νά στιγμή με την επίθεση NotPetya που έπληξε την Ουκρανία τον Ιούνιο του 2017 πριν προκαλέσει χάος σε όλο τον κόσμο. Ωστόσο, την απάντηση έρχεται να δώσει η ομάδα hacker Anonymous. Οι Anonymous ανακοίνωσαν σε ανάρτηση τους στο Twitter, ότι κατάφεραν να θέσουν εκτός λειτουργίας πολλές ρωσικές ιστοσελίδες, ως απάντηση στη στρατιωτική επίθεση της χώρας στην Ουκρανία. Όπως επιβεβαιώθηκε από τον ελεγχόμενο από το κράτος διεθνή τηλεοπτικό σταθμό της Ρωσίας, RT, οι επίσημοι ιστότοποι της ρωσικής κυβέρνησης, η Δούμα, το Κρεμλίνο και το Υπουργείο Άμυνας επηρεάστηκαν από μεγάλης κλίμακας κυβερνοεπίθεση. Επιπλέον, μερικές από τις ιστοσελίδες που επίσης δέχθηκαν επίθεση υπολει- τουργούν, ενώ άλλες έχουν τεθεί πλήρως εκτός σύνδεσης. Η κυβερνοεπίθε- ση αυτή από την ομάδα Anonymous ξεκίνησε μία μόλις ημέρα αφότου απο- καλύφτηκε η κυκλοφορία ενός νέου κακόβουλου λογισμικού wiper (υαλοκα- θαριστήρα) στην Ουκρανία, η οποία αντιμετώπισε επίσης ένα μπαράζ επιθέ- σεων με περιστατικά DDoS και μηνύματα phishing. Σύμφωνα με την εταιρεία κυβερνοασφάλειας ESET, πρόκειται για ένα ύπουλο κακόβουλο λογισμικό που μπορεί να διαγράψει όλα τα δεδομένα από το σύστημα που έχει μολύ- νει. Το κακόβουλο αυτό λογισμικό είναι τόσο επικίνδυνο για τα δεδομένα, που εφόσον αυτά διαγραφούν δεν μπορούν να ανακτηθούν. Παναγιώτης Αποστολόπουλος www.securityreport.gr Εκδότης Αργύρης Νομικός arnomikos@securityreport.gr Ιδρυτικό Μέλος Μαίρη Βαγενά Σύμβουλος Έκδοσης Νίκος Σαράφογλου sales@securityreport.gr Διευθυντής Σύνταξης Σωτήρης Χατζηστρατής Αρχισυντάκτης Παναγιώτης Αποστολόπουλος p.apostolopoulos@securityreport.gr Σύνταξη Χάρης Ματθαίου Συνεργάτες Παύλος Κερασίδης Νομικά Θέματα Αλέξανδρος Τρυφωνίδης Καλλιτεχνική Επιμέλεια Σωτήρης Ανδρίτσος Web Developer Λευτέρης Χαμακιώτης Λογιστήριο Χρύσα Τσιαντούλα fin@digitaltvinfo.gr ΙΔΙΟΚΤΗΣΙΑ Libra Press Καυκάσου 145,113 64, Αθήνα, Τηλ.: 210-8815417, Fax: 210-8815416 e-mail: info@securityreport.gr ΤΕΥΧΟΣ #125 Κυβερνοεπιθέσεις πλήττουν τράπεζες και άλλες κρίσιμες υποδομές της Ουκρανίας