Digitale aanvallen Oekraïne: een tijdlijn

De afgelopen periode zijn de digitale aanvallen in Oekraïne in het nieuws geweest. Op deze pagina vindt u een chronologisch overzicht van de cyberaanvallen en de daaropvolgende publicaties.

Tijdlijn

November 2022

  • 4 november

De Federal Bureau of Investigation (FBI) heeft een beveiligingsadvies gepubliceerd waarin zij waarschuwt voor activistische Pro-Russische DDoS-aanvallen. Het advies volgt op diverse waargenomen DDoS-aanvallen op kritieke infrastructuur in de Verenigde staten. Hoewel de DDoS-aanvallen vaak een beperkte impact hebben, adviseert de FBI toch een aantal mitigerende maatregelen te nemen om de kans hierop te verkleinen.

Op de website van het NCSC staat verdiepende informatie om te voorkomen dat uw onlinedienstverlening onbereikbaar wordt door een DDoS-aanval:

- Factsheet Continuïteit van online diensten 

- Factsheet Technische maatregelen voor continuïteit voor online diensten 

- Anti-DDoS-Coalitie

  • 1 november

De Britse regering heeft bekend gemaakt, kort na de inval van Rusland een cyber-steunpakket van 6,35 miljoen pond beschikbaar te hebben gesteld aan Oekraïne. Hiermee heeft het VK, Oekraïne ondersteunt in het beschermen van haar kritieke infrastructuur en publieke diensten. Het cyber-steunpakket volgde op het toenemende tempo van Russische cyberactiviteiten richting Oekraïne daags na de invasie.

Oktober 2022

  • 21 oktober

Cert-UA heeft verspreiding van malafide e-mails uit naam van de Oekrainse persdienst van de Generale staf van de Oekrainse strijdkrachten waargenomen. De e-mail bevat een link naar een externe website, met daarop de melding dat het noodzakelijk is om een software update uit te voeren. Gebruikersinteractie resulteert in het downloaden van een uitvoerbaar bestand. Bij het uitvoeren daarvan wordt het systeem besmet met RomCom malware. Door o.a. het gebruik van RomCom malware, acht Cert-UA het mogelijk de activiteit toe te wijzen aan de actor achter de Cuba Ransomware.

  • 14 oktober

Microsoft Threat Intelligence Center (MSTIC) heeft een nieuwe ransomware-campagne, gericht op transport- en logistieke organisaties in Oekraïne en Polen, waargenomen. De ransomware die hierbij wordt gebruikt, wordt “Prestige ransomware” genoemd.
Volgens MSTIC heeft de campagne een aantal opvallende kenmerken waardoor deze zich onderscheidt van andere, door Microsoft gevolgde, ransomware-campagnes:
- Er (deels) een overlap met de slachtoffers van de HermeticWiper malware
- MSTIC kan de kenmerken van deze nieuwe ransomware-campagne niet verbinden aan een van de 94 ransomwaregroepen die Microsoft actief volgt
- De bedrijfs-brede implementatie van ransomware is niet gebruikelijk in Oekraïne

  • 11 oktober

FortiGuard Labs heeft een technische analyse gepubliceerd over de verspreiding van Cobalt Strike Beacon-malware. Hierbij wordt gebruik gemaakt van een malafide Excel-bestand dat zich voordoet als hulpmiddel om de salarissen van Oekraïense militairen te berekenen. De malwarecampagne laat zien hoe kwaadwillenden de oorlog in Oekraïne gebruiken voor de uitvoering van digitale aanvallen.

  • 10 oktober

Websites van meerdere Amerikaanse luchthavens, waaronder die van Atlanta (ATL), Los Angeles (LAX), Chicago (ORD) en Orlando (MCO), zijn getroffen door DDoS-aanvallenDaardoor waren de websites tijdelijk ontoegankelijk. De aanvallen worden toegekend aan de hackersgroep Killnet. De aanvallen zouden geen effect hebben gehad op vluchten van en naar de luchthavens.

  • 6 oktober

Hackersgroep Killnet claimt een aantal Amerikaanse overheidswebsites offline te hebben gehaald. Het betreft websites van de staten Colorado, Mississippi en Kentucky. De hackersgroep had al op Telegram kenbaar gemaakt Amerikaanse overheidswebsites als doelwit te hebben. De meeste getroffen websites waren op dezelfde dag weer online.

  • 2 oktober

Volgens het Oekraïense nieuwsplatform Kyiv Post zouden Russische hackers van de National Republican Army (NRA) een ransomware-aanval op het Russische bedrijf Unisoftware hebben uitgevoerd. Volgens het platform zouden persoonlijke gegevens van klanten zijn gestolen. Ook de Russische overheid zou klant zijn van Unisoftware, volgens de Kyiv Post. De mobilisatie van Russische burgers zou aanleiding zijn geweest voor de digitale aanval.

September 2022

  • 29 september

De Finse veiligheids- en inlichtingendienst SUPO waarschuwt voor mogelijk verhoogde Russische digitale spionageactiviteit aankomende winter. De waarschuwing hiervoor zou voortkomen uit een Russisch gebrek aan human intelligence (humint), omdat veel Russische diplomaten westerse landen zijn uitgezet. Ook vanwege de westerse sancties kan Rusland inlichtingen willen vergaren over de ontwikkeling van hoogwaardige technologie, meldt de dienst. Daardoor houdt SUPO extra rekening met industriële spionage vanuit Rusland.

  • 26 September

Het Oekraïense ministerie van Defensie waarschuwt voor grootschalige Russische digitale aanvallen op kritieke infrastructuur in Oekraïne en zijn bondgenoten. Volgens het ministerie zou Rusland ook de intensiteit van DDoS-aanvallen proberen te verhogen. Deze aanvallen zouden met name op Polen en de Baltische staten gericht zijn.

  • 20 September

Hackers van het Oekraïense leger zouden de website van het Russische huurlingenbedrijf Wagner hebben gehackt. Volgens de Oekraïense minister van Digitale Transformatie zijn daarbij persoonsgegevens buitgemaakt van alle huurlingen die bij de organisatie zijn aangesloten.

  • 19 September

Recorded Future heeft een analyse gepubliceerd over de actor UAC-0113, die mogelijk gelinkt is aan de Russische APT Sandworm. De actor doet zich voor als Oekraïense telecomorganisaties en zet html-smuggling in voor de verspreiding van malware. Volgens Recorded Future zijn de digitale aanvallen waarschijnlijk gericht op doelen in Oekraïne.

  • 16 September

Cisco Talos waarschuwt voor een campagne van de Russische APT Gamaredon. In deze campagne zet de actor malware in de vorm van een information stealer in. De malware wordt verspreid door middel van phishing-mails over de oorlog en is gericht op Oekraïners.

  • 9 september

Google publiceert in een blogpost dat zij een toenemend aantal financieel gemotiveerde hackersgroepen zien die zich specifiek richten op organisaties in Oekraïne. Een van deze groeperingen: UAC-0098, die zich in het verleden als ransomware initial access broker met name heeft gericht op ransomware aanvallen, richt zich nu op Oekrainse (overheids)organisaties en Europese non-profit organisaties. De actor heeft verschillende phishing aanvallen uitgevoerd, waarbij ze zich voor deden als de Nationale Cyber Politie van Oekraine, Microsoft en Starlink.

  • 2 september

Hackerscollectief Anonymous beweert de grootste taxi service in Rusland, Yandex Taxi, te hebben gehackt. Door meerdere taxi’s naar dezelfde locatie te sturen zijn diverse files in Moscow veroorzaakt.

Augustus 2022

  • 16 augustus

Het Oekraïense nucleaire agentschap Energoatom maakt melding van een Russische digitale aanval tegen zijn website. Volgens het agentschap zette de hackersgroep People’s Cyber Army 7,25 miljoen bots in om de website onbereikbaar te maken. Volgens Energoatom heeft de aanval geen impact gehad op de werking van de site.

  • 15 augustus

Microsoft waarschuwt voor phishing-aanvallen van de Russische hackersgroep SEABORGIUM.  Volgens Microsoft is de groep waarschijnlijk uit op spionage. SEABORGIUM richt zich voornamelijk op NAVO-landen, Scandinavië en Oost-Europa, waaronder Oekraïne. De oorlog in Oekraïne wordt door deze groep ook gebruikt als onderwerp voor phishing-mails.

Symantec publiceert een blog over de activiteiten van de Russische APT Gamaredon. Volgens Symantec heeft Gamaredon tussen 15 juli en 8 augustus digitale aanvallen met Infostealer-malware uitgevoerd op Oekraïense organisaties. De blog volgt op de waarschuwing van CERT-UA voor phishing-emails van Gamaredon (zie update 26 juli).

  • 13 augustus

De pro-Russische hackersgroep Killnet beweert een DDoS-aanval te hebben uitgevoerd op defensieconcern Lockheed Martin. De groep zou ook persoonlijke gegevens hebben gestolen van medewerkers tijdens een digitale aanval en dreigen deze te publiceren.

  • 11 augustus

De nationale CERT van Letland, CERT-LV, meldt op Twitter dat een DDoS-aanval heeft plaatsgevonden op het Letse parlement, de Saeima. De digitale aanval vond plaats nadat de Saeima een verklaring heeft aangenomen die Rusland tot staatssponsor van terrorisme aanwijst. Volgens CERT-LV is het werk van de Saeima niet verstoord geraakt.

  • 10 augustus

CERT-UA registreert 203 digitale aanvallen in de maand juli. De CERT van Oekraïne meldt dat het aantal aanvallen op vertegenwoordigers van de Oekraïense staat en financiële instellingen in de maand juli is toegenomen. De twee meest gehackte sectoren zijn de (nationale en lokale) overheid, die in juli werd getroffen door 56 digitale aanvallen, gevolgd door 24 aanvallen op de veiligheids- en defensiesector.

  • 9 augustus

De Finse publieke omroep YLE meldt dat website van het Finse parlement is getroffen door een denial of service-aanval. Een Russische hackersgroep die zichzelf NoName057(16) noemt, zegt op zijn Telegram-kanaal achter de aanval te zitten. De aanval begon dinsdag 9 augustus rond 14.30 uur. Om 22.00 uur was de website weer bereikbaar.

The Telegraph schrijft dat Britse autoriteiten onderzoek doen naar digitale aanvallen tegen het Britse cryptocurrency-platform Currency.com. Volgens The Telegraph voeren hackers sinds april bijna dagelijks digitale aanvallen uit op het bedrijf, nadat het zich terugtrok uit Rusland wegens de oorlog.

  • 8 augustus

VMWare meldt in haar jaarlijkse Global Incident Response Threat Report een toename van digitale aanvallen sinds de start van de oorlog in Oekraïne. 65% van de ondervraagde cybersecurity-professionals ziet meer digitale aanvallen sinds de Russische invasie.

  • 4 augustus

Meta heeft haar Quarterly Adversarial Threat Report (Q2 2022) gepubliceerd. Hierin meldt Meta dat zij afgelopen april een trollenfabriek in St Petersburg heeft ontmanteld. De trollenfabriek zou op sociale media pro-Russisch commentaar leveren over de oorlog.

  • 2 augustus

De Oekraïense SSU laat op haar website weten dat ze een botfarm heeft ontmanteld. De botfarm verspreidde desinformatie met als doel de sociale en politieke situatie in Oekraïne te destabiliseren. De verspreide desinformatie ging over activiteiten van de  hoogste militaire en politieke leiders in Oekraïne. Volgens de SSU maakte de makers van de botfarm gebruik van meer dan een miljoen online nep-accounts en social media groepen met meer dan 400.000 gebruikers.

Juli 2022

    • 27 juli

    CERT-UA waarschuwt voor phishing-mails, zogenaamd afkomstig van het Rode Kruis, waarin om donaties wordt gevraagd voor Oekraïense vluchtelingen. De berichten bevatten een linkje naar een phishing-site die een Oekraïense bank nabootst. Inloggegevens die op deze site worden ingevuld, belanden in de handen van de aanvallers.

    • 26 juli

    CERT-UA waarschuwt voor digitale aanvallen van de hackersgroep Gamaredon. De aanvallers maken gebruik van phishing-emails met een malafide bijlage. Interactie met deze bijlage resulteert in het downloaden en installeren van GammaLoad.PS1_v2-malware.

    • 21 juni

    Volgens de Oekraïense overheidsinstantie SSSCIP heeft een digitale aanval plaatsgevonden op de TAVR mediagroep. Onder deze mediagroep vallen negen grote Oekraïense radiostations. De aanvallers hebben op de radio desinformatie verspreid over de gezondheid van president Zelensky

    • 20 juli

    Na een toename van digitale aanvallen gerelateerd aan de oorlog tussen Rusland en Oekraïne waarschuwt de Europese Raad voor onaanvaardbare risico’s van spill-over-effecten, verkeerde interpretaties en mogelijk verdere escalatie. De laatste distributed denial-of-service (DDoS)-aanvallen tegen verschillende EU-lidstaten en haar partners die door pro-Russische hackersgroepen werden opgeëist, zijn een voorbeeld van het verhoogde en gespannen cyberdreigingslandschap. De EU roept lidstaten op de bewustwording van cyberdreigingen te vergroten en preventieve maatregelen te nemen om kritieke infrastructuur te beschermen.

    Het U.S. Cyber Command heeft in samenwerking met de Oekrainse veiligheidsdienst, indicatoren (IOCs) gedeeld over waargenomen malware in Oekraïne. Ook Mandiant heeft hier een blogpost met aanvullende details over gepubliceerd.

    • 19 juli

    Na Microsoft en Mandiant waarschuwt ook Unit42 van Palo Alto voor (spear) phishing aanvallen van de uit Rusland opererende actor APT29. De phishing e-mails worden verstuurd uit naam van een organisatie en bevatten een malafide HTML-bestand of een link naar een HTML-bestand op een cloud storage dienst zoals DropBox of Google Drive. Interactie met dit HTML-bestand resulteert in het uitvoeren van Javascript code, waarmee een ISO-bestand of IMG-bestand aan het systeem wordt toegevoegd. In het IMG- of ISO-bestand is een snelkoppeling zichtbaar. Andere bestanden, zoals EXE en DLL-bestanden, zijn onzichtbaar gemaakt. Door de snelkoppeling te openen wordt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

    Google publiceert in een blogpost dat zij door verschillende actoren, digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

    • De vanuit Rusland opererende actoren APT28 en Sandworm hebben volgens Google meerdere phishing aanvallen uitgevoerd, waarbij misbruik werd gemaakt van de kwetsbaarheid met het kenmerk CVE-2022-30190 (Follina). Het NCSC heeft in een beveiligingsadvies gewaarschuwd voor deze kwetsbaarheid
    • De organisatie heeft activiteit vanuit de uit Rusland opererende actor COLDRIVER waargenomen. Volgens Google zou de actor phishing-pogingen hebben ondernomen op onder meer overheidsmedewerkers, politici, NGO's en journalisten
    • De vanuit Rusland opererende actor TURLA heeft tijdelijke een neppe "anti-ddos" app aangeboden en hierbij deden zij zich voor als het Oekraïense Azov Regiment
    • Tot slot meldt Google dat de actor Ghostwriter (Belarus) actief phishing aanvallen heeft uitgevoerd richting Poolse burgers

    • 11 juli

    Cert-UA waarschuwt voor digitale aanvallen op Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De bijlage is een XLS-bestand en bevat een marco.
    De activering van de macro leidt tot het uitvoeren van het bestand "baseupd.exe". Hierdoor raakt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

    • 6 juli

    Op 6 juli meldt het Letse Radio en Televisie center LVRTC, langdurige last hebben gehad van een distributed denial-of-serviceaanval (DDoS). Om de digitale aanval te beperken, heeft LVRTC de toegang tot bepaalde diensten tijdelijke beperkt. Met als gevolg dan verschillende diensten niet meer beschikbaar waren.

    • 5 juli

    NCSC-UK waarschuwt organisaties voor een lange periode van verhoogde dreiging door het conflict in Rusland en Oekraïne. NCSC-UK beoordeelt dat de cyberdreiging voor het VK als gevolg van het conflict blijft toenemen. Organisaties worden opgeroepen om alert te blijven. En zich voor te breiden op veerkracht van de cybersecurityspecialisten binnen hun organisatie op langere termijn.

    Juni 2022

    • 30 juni

    Via een desinformatiecampagne wordt een gerucht verspreidt dat Oekraïense mannelijke vluchtelingen in Polen zouden worden geïdentificeerd en teruggestuurd naar Oekraïne voor militaire dienst. Beveiligingsonderzoekers van Mandiant schrijven dit toe aan de, aan Wit-Rusland gelieerde actor GhostWriter.

    Volgens de Oekraïense overheidsinstantie SSSCIP is de intensiteit van cyberaanvallen op Oekraïne niet afgenomen. Sinds het begin van de oorlog, 24 februari 2022, hebben er bijna 800 cyberaanvallen plaatsgevonden.  

    • 24 juni

    CERT-UA waarschuwt voor digitale aanvallen op telecombedrijven in Oekraïne. Er wordt gebruik gemaakt van e-mails met een malafide bijlage. De e-mails bevatten als bijlage een met wachtwoord bescherm RAR-bestand met hierin een Excel-bestand met macro. Interactie met het bestand resulteert in het uitvoeren van een PowerShell commando, waarmee een EXE-bestand wordt gedownload en uitgevoerd. Hierdoor raakt het systeem besmet met de DarkCrystal malware.

    • 22 juni

    Nadat Litouwen een verbod heeft ingesteld op alle doorvoer per spoor van Russische goederen (m.u.v. levensmiddelen en personen) naar Kaliningrad, roepen verschillende activistische groeperingen, o.a. via Telegram, op om de vitale infrastructuur van Litouwen digitaal aan te vallen.

    • 20 juni

    Cert-UA waarschuwt voor twee type aanvallen. Bij de ene wordt malafide bestand xxx.doc meegestuurd bij de ander een xxx.rtf. Beide aanvallen zorgen voor een download van een HTML-bestand en misbruiken de kwetsbaarheid CVE-2022-30190. Bij het doc bestand wordt Cobalt Strike malware uitgevoerd en bij het rtf bestand wordt de CredoMap malware ingezet.

    Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190.

    • 17 juni

    De actor Killnet roept via Telegram verschillende ransomware actoren als Conti en Revil op om gezamenlijk organisaties in de Verenigde Staten, Italië en Polen digitaal aan te vallen.

    Volgens een woordvoerder van het Kremlin heeft een distributed denial-of-service (DDoS) aanval er op vrijdag voor gezorgd dat de speech van president Poetin op het International Economic Forum in St. Petersburg met een uur is uitgesteld.

    • 14 juni

    De Wit-Russische hacktivistische actor Belarusian Cyber Partisans claimt toegang te hebben tot getapte gesprekken van onder andere de Russische ambassade in Wit-Rusland. Het zou gaan om opnames tussen 2020 en 2021.

    • 10 juni

    Hackerscollectief Anonymous beweert een Russische drone fabrikant te hebben gehackt. Hierbij heeft de actor afbeeldingen gepubliceerd van een deel van de bemachtigde informatie.

    • 9 juni

    Rusland waarschuwt Westerse landen voor digitale aanvallen indien zij Russische kritieke infrastructuur aanvallen. Dit naar aanleiding van het interview met de Amerikaanse generaal Paul Nakasone door Sky News (zie update van 1 juni op deze tijdlijn).

    • 7 juni

    De website van het Russische ministerie van Bouw, Huisvesting en Voorzieningen verwees na een digitale aanval naar een pro Oekrainse bericht: “Glory to Ukraine”. De hackers eisten ook losgeld om het lekken van persoonlijke gegevens van de websitegebruikers te voorkomen.

    Volgens RIA, een Russisch staatsnieuwsmedium, bevestigde een vertegenwoordiger van het ministerie dat de site offline was, maar dat gebruikersgegevens niet werden gecompromitteerd.

    • 2 juni

    CERT-UA waarschuwt voor voor digitale aanvallen op verschillende Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De e-mails bevatten een document, die een link bevat naar een extern HTML-bestand met JavaScript code. De uitvoering van dit HTML-bestand resulteert in de misbruik van de kwetsbaarheden CVE-2021-40444 en CVE-2022-30190, waardoor een PowerShell commando wordt uitgevoerd. Het PowerShell commando download en voert een EXE-bestand uit, waardoor het systeem besmet raakt met het kwaadaardige programma Cobalt Strike Beacon. Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190

    • 1 juni

    In een interview met Sky News bevestigd de Amerikaanse Generaal Paul Nakasone dat de Verenigde Staten offensieve digitale aanvallen heeft uitgevoerd ter ondersteuning aan Oekraine.

    Mei 2022

    • 29 mei

    Anonymous beweert Wit-Russische overheidswebsites te hebben aangevallen als vergelding voor de mogelijke Wit-Russische steun aan de Russische invasie.

    • 23 mei

    Onderzoekers van beveiligingbedrijf Sekoia hebben digitale verkenningsactiviteiten waargenomen van de Russische actor TURLA. De bevindingen komen voort uit eerdere bevindingen van Google’s Threat Analysis Group (TAG), zie ook het bericht van 3 mei 2022 op deze tijdlijn. De activiteiten waren gericht op de Baltic Defense College, de Austrian Economic Chamber en NATO's eLearning platform genaamd JDAL. De Austrian Economic Chamber is in Oosterijk betrokken bij de uitvoering van sancties tegen Rusland.

    • 20 mei

    Pro Russische hackers hebben digitale aanvallen uitgevoerd op diverse Italiaanse overheidsinstituties. Op vrijdag 20 mei tweet de Italiaanse ambassade in London dat de website van het Italiaanse ministerie van Buitenlandse Zaken en haar ambassades beperkt bereikbaar zijn door digitale aanvallen.

    • 16 mei

    De Italiaanse autoriteiten hebben DDoS-aanvallen van de actor Killnet beperkt. Deze aanvallen vonden plaats tijdens de live-optredens en de stemmingsronden van het Eurovisie Songfestival. In reactie op de mislukte poging heeft de actor aangegeven digitale aanvallen te gaan uitvoeren op websites van organisaties in: Verenigde Staten, Verenigd Koninkrijk, Duitsland, Letland, Roemenië, Esland, Polen, Oekraïne, Litouwen en Italië.

    • 12 mei

    De actor KillNet heeft op 12 mei DDoS-aanvallen uitgevoerd op diverse websites van Italiaanse overheidsinstanties en bedrijven.

    Op dezelfde dag waarschuwt het CERT-UA voor emails met als onderwerp “Щодо проведення акції помсти у Херсоні!” (“Met betrekking tot de wraakactie Cherson!”). Deze e-mails bevatten een HTM-bestand. Bij interactie met het bestand wordt uiteindelijk de malware "gammaload.ps1_v2” gedownload. CERT-UA schrijft deze aanval toe aan de Russische actor UAC-0010 (Gamaredon).

    • 10 mei

    Afgelopen dinsdag, 10 mei, hebben de Europese Unie en internationale partners afkeurend gereageerd op de digitale aanval op het satellietnetwerk Ka-Sat. Deze aaval wordt toegeschreven aan de Russische Federatie. De digitale aanval vond kort voor de Russische invasie op 24 februari 2022 plaats en heeft aanzienlijke gevolgen gehad bij verschillende overheids¬instanties, bedrijven en burgers in Oekraïne. De digitale aanval zorgde ook voor spill-over-effecten bij verschillende lidstaten van de Europese Unie. 

    • 09 mei

    Verschillende media melden dat door een digitale aanval Russische satelliettelevisiemenu’s  vlak voor de Victory day parade in Moscow verschillende anti-oorlogsleuzen vertoonden.

    • 07 mei

    CERT-UA waarschuwt voor e-mails met als onderwerp “хімічної атаки” (chemische aanval). De e-mails bevatten een link naar een .XLS-document met een macro. Wanneer de macro wordt geactiveerd, download en voert het een malware uit. Hierdoor raakt de computer besmet met het kwaadaardige programma JesterStealer. Het kwaadaardige programma steelt (gevoelige) informatie van de besmette computer en verstuurt het vervolgens naar de aanvaller. 

    • 03 mei

    Google publiceert in een blogpost dat zij door verschillende actoren digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

    •  De vanuit Rusland opererende actor APT28 (ook bekend als Fancy Bear) richt zich met een nieuwe malware variant op gebruikers in Oekraïne. De malware wordt per email verspreid via met een wachtwoord beveiligde zip bestand.
    • De organisatie heeft wederom activiteit vanuit de uit Rusland opererende actor Coldriver waargenomen (zie update 31 maart in deze tijdlijn). Volgens Google zou deze actor phishing pogingen hebben gedaan op onder meer een overheidsmedewerkers, politici, NGO's en journalisten.
    • De vanuit China opererende actor Curious Gorge heeft lang lopende campagnes voortgezet tegenover meerdere overheids-, productie-, defensie-, en logistieke-organisaties in Rusland en Oekraïne.  
    • Google heeft digitale aanvallen waargenomen door de aan Rusland gelieerde actor Turla. De actor richtte zich op de Baltische staten en probeerde defensieorganisaties en cybersecuritybedrijven te compromitteren.
    • En tot slot meldt Google dat door de actor Ghostwriter (Belarus) nog altijd actief phishing aanvallen worden uitgevoerd richting Oekraïense burgers.
    • 01 mei

    Het Britse ministerie van Buitenlandse Zaken zegt, op basis van extern onderzoek, te weten dat Rusland desinformatie over de oorlog in Oekraïne verspreid via een 'trollenfabriek'. Volgens het ministerie zijn accounts van verschillende politici en specifieke mensen, uit het VK, India en Zuid-Afrika, benaderd.
    Het onderzoek laat volgens de Britse experts zien hoe de grootschalige desinformatiecampagne van het Kremlin is ontworpen om de internationale publiek over de oorlog in Oekraïne te manipuleren.

    April 2022

    • 27 april

    Microsoft heeft een rapport uitgebracht met details over Russische digitale aanvallen die zijn waargenomen tijdens de oorlog tussen Rusland en Oekraïne. Sinds de Russische invasie heeft Microsoft meer dan 200 digitale aanvallen tegen Oekraïense organisaties en burgers waargenomen. Een aantal van deze digitale aanvallen lijken afgestemd te zijn op kinetische militaire operaties, aldus Microsoft. Het rapport bevat een gedetailleerde tijdlijn van de Russische digitale aanvallen en is uitgebracht om organisaties waaronder vitale aanbieders en Rijksoverheid te helpen de weerbaarheid te verhogen.

    • 22 april

    De nationale postdienst van Oekraïne, Ukrposhta, is na het introduceren van een nieuwe postzegel, getroffen door een DDoS-aanval. Op de postzegel is een Oekraïense soldaat afgebeeld, die een offensief gebaar maakt naar het nu gezonken Russische oorlogsschip Moskva.

    • 21 april

    De Verenigde Staten, Australië, Nieuw-Zeeland, Canada en het Verenigd Koninkrijk plaatsen op de website van CISA een gezamenlijke waarschuwing voor cyber activiteit gericht op de kritieke infrastructuur vanuit Russische statelijke en criminele actoren. Deze activiteiten kunnen plaatsvinden als reactie op de opgelegde sancties, evenals materiële steun die wordt verleend door de westerse bondgenoten en partners.

    • 20 april

    De aan Rusland gelieerde actor Shuckworm (ook bekend als Gamaredon en Armageddon) blijft zich voortdurend richten op organisaties in Oekraïne. Het maakt hierbij gebruik van verschillende versies van de malware Backdoor.Pterodo. De frequentie van de aanvallen zorgt dat het een van de belangrijkste cyberbedreigingen blijft waarmee organisaties in de regio worden geconfronteerd.

    • 19 april

    CERT-UA waarschuwt voor phishing mails uit hun naam met als onderwerp "Srochno!” (Dringend!). De e-mails zijn gericht op Oekraïense organisaties en bevatten een .XLS bijlage met daarin een macro. Wanneer de macro wordt geactiveerd, download en voert het een bestand uit en raakt vervolgens de computer besmet met Cobalt Strike Beacon malware.

    • 17 april

    De activistische Hackgroep KillNet heeft DDoS-aanvallen uitgevoerd op verschillende websites van luchthavens, transport en overheidsorganisaties in Europa. Dit heeft voor sommige organisaties geresulteerd in het tijdelijk niet meer bereikbaar zijn van de website.

    • 12 april

    Beveiligingsbedrijf ESET en de Oekraïense CERT CERT-UA hebben bij een aanval op een Oekraïens energiebedrijf nieuwe malware, Industroyer2, ontdekt die zich richt op ICS-systemen. Bij de aanval is ook andere malware gebruikt, waaronder verschillende wipers. Zie voor meer details over deze malware de websites van ESET en CERT-UA. De aanval is volgens ESET en CERT-UA succesvol afgeslagen.

    • 8 april

    Op 8 april zorgde een denial-of-service aanval ervoor dat de websites van de Finse ministeries van Defensie en Buitenlandse Zaken tijdelijk onbereikbaar waren. De aanval begon rond het middaguur, terwijl de Oekraïense president Zelensky het Finse parlement toesprak. 

    • 7 april

    Microsoft laat weten dat het digitale aanvallen op Oekraïne heeft weten te voorkomen. Het gaat om een aanval van Strontium, een Russische statelijke actor die gerelateerd wordt aan de inlichtingendienst GRU. Strontium probeerde Oekraïense overheidsorganisaties en mediabedrijven te compromitteren en richtte zich daarnaast op overheidsorganisaties en denktanks in de EU en VS die betrokken zijn bij internationale betrekkingen. In de aanval maakte Strontium gebruik van 7 malafide internetdomeinen om toegang te verkrijgen tot de slachtoffers.

    • 4 april

    CERT-UA bericht dat er verschillende malafide bestanden zijn aangetroffen die gebruikt kunnen worden bij een spearphishing-aanval. Deze bestanden hadden Engelstalige namen en waren gericht op een overheidsorganisatie in Letland. CERT-UA schrijft deze aanval toe aan UAC-0010 (Armageddon).

    Op dezelfde dag bericht CERT-UA ook dat Oekraïense overheidsorganisaties doelwit van Armageddon zijn geweest. Ook hier ging het om een spearphishing-aanval. Doelwitten ontvingen malafide bestanden met persoonsgegevens van vermeende oorlogsmisdadigers.

    Maart 2022

    • 31 maart

    Google publiceert een blog over de vanuit Rusland opererende actor Coldriver. Deze actor zou phishing pogingen hebben gedaan op onder meer een afdeling van de NAVO. Google heeft geen aanwijzingen dat deze pogingen succesvol zijn geweest. Deze groep is al sinds 2015 actief en heeft in het verleden verschillende doelen aangevallen zoals ministeries, ngo's en journalisten.

    • 29 maart

    Een grote DDoS aanval op de Oekraïense internetserviceprovider Ukrtelecom zorgt ervoor dat diensten voor klanten van deze provider tijdelijk onbereikbaar zijn.

    • 28 maart

    Een Russische internetprovider doet een kortstondige BGP hijack van de Twitter adresruimte. De BGP-aankondiging heeft uiteindelijk weinig effect omdat Twitter de BGP aankondigingen beschermt met RPKI.

    • 24 maart

    Drie Russische spionnen hebben zich vijf jaar lang gericht op energie-infrastructuur in 135 landen in een poging de Russische regering in staat te stellen elektriciteitscentrales op afstand te besturen, dat beweert het Amerikaanse Ministerie van Justitie in een aanklacht die op 24 maart bekend werd gemaakt.

    Hackergroepring Anonymous roept op Twitter bedrijven op zich terug te trekken uit Rusland. De groep geeft bedrijven 48 uur de tijd om zich terug te trekken, anders zullen zij Anonymous doelwit worden. Eerder heeft Anonymous gegevens van Russische bedrijven gepubliceerd.

    • 23 maart

    Cert-UA maakt melding van een nieuwe wiper malware genaamd Double Zero. Deze malware wordt verspreid via .zip-bestanden.

    • 22 maart

    De Amerikaanse president Joe Biden waarschuwt bedrijven in zijn land voor potentiele Russische cyberaanvallen, onder andere als reactie op de westerse sancties tegen Rusland.

    • 21 maart

    Cert-UA waarschuwt voor aanvallen door hacker groepering InvisiMole. Deze groepering wordt gelinkt aan de Russische APT Gamaredon.  

    • 20 maart

    Hackersgroep Anonymous waarschuwt Westerse bedrijven de banden met Rusland te verbreken en dreigt met gerichte acties.

    • 18 maart

    Security Affairs bericht over een destructieve Node-IRP package (malware-aanval) gericht op organisaties in Rusland en Belarus.

    • 15 maart

    Het Computer Emergency Response Team van Oekraïne (CERT-UA)  maakt melding van een phishing campagne waarbij uit naam van de Oekraïense overheid massaal mails worden verstuurd. Voor de aanvallen wordt gebruik gemaakt van Cobalt Strike, Grimplant en GraphSteel.

    Daarnaast heeft ESET in Oekraïne een nieuwe wiper malware met de naam Caddywiper ontdekt. Wiper malware doet zich voor als ransomware, alleen kunnen beschadigde systemen of bestanden niet hersteld worden. 

    • 11 maart

    Anonymous heeft 20 terabyte aan data gelekt na een digitale aanval op de Duitse vestiging van het Russische Rosneft. De Duitse inlichtingendienst BSI heeft als reactie hierop vitale sectoren gewaarschuwd. 

    • 8 maart

    Der Spiegel meldt dat de Duitse  BSI, onderdeel van het Duitse ministerie van Binnenlandse Zaken, waarschuwt voor een digitale aanval. Het zou hier gaan om een aanval op de kritieke infrastructuur als gevolg van de hulp die Duitsland aan Oekraïne biedt sinds het begin van de oorlog.

    • 3 maart

    De Oekraïense SSU meldt dat websites van lokale overheden zijn gehackt om berichten van overgave te plaatsen. De SSU laat op Twitter weten dat het gaat om desinformatie en roept burgers op deze informatie niet voor waar aan te nemen. Ook de Oekraïense ambassade in het Verenigd Koninkrijk laat weten last te hebben van digitale aanvallen en daardoor slecht bereikbaar te zijn.

    • 2 maart

    De Oekraïense overheid roept techbedrijven op om zakelijke relaties met Rusland te verbreken. Verschillende techbedrijven stoppen (deels) met hun dienstverlening aan Rusland. Daarnaast meldt cybersecurity bedrijf Proofpoint spearphishingaanvallen op Europese overheidsinstanties door verschillende statelijke actoren. Het doel lijkt dat deze actoren meer inzicht proberen te krijgen in de opvang en migratie van Oekraïners.

    • 1 maart

    Onderzoekers van Wordfence hacks melden  op websites van diverse Oekraïense universiteiten tijdens de start van de invasie. Wordfence schrijft de aanvallen toe aan de actor theMx0nda. Deze groep heeft openlijk verklaard Rusland te steunen in haar oorlog tegen Oekraïne.

    Februari 2022

    • 28 februari

    De Belarusian Cyber-Partisans claimen wederom een digitale aanval op de spoorwegen in Belarus te hebben uitgevoerd om Russische troepenverplaatsingen te dwarsbomen. Een actueel overzicht van cybergroeperingen die zich in het conflict hebben gemengd, inclusief statelijke actoren als Sandworm, is hier te vinden.

    De laatste ontwikkelingen in ogenschouw genomen heeft het NCSC een handelingsperspectief en dreigingspecifieke maatregelen gepubliceerd. Op dit moment worden er geen actieve digitale aanvallen op Nederland of Nederlandse belangen waargenomen.

    • 26 februari

    De Oekraïense minister van Digitale Transformatie roept hackers wereldwijd op om zich aan te melden voor een “Oekraïens IT leger”. 

    • 25 februari

    Ransomware-groepering Conti laat in een verklaring weten zich achter Rusland te scharen. Om Rusland te ondersteunen dreigt Conti met aanvallen op kritieke infrastructuur van landen die zich tegen Rusland keren. Ransomware-concurrent LockBit daarentegen meldt zich in deze oorlog afzijdig te houden en uitsluitend gemotiveerd te zijn door financiële doeleinden.

    • 24 februari

    Na de invasie van Russische troepen in Oekraïne hebben diverse niet-statelijke actoren zich in het conflict gemengd. Diezelfde avond verklaart hackers-collectief Anonymous de oorlog aan Rusland. Vervolgens claimen vrijwilligers aangesloten bij dit collectief diverse Russische overheids- en mediawebsites middels DDoS-aanvallen offline te hebben gehaald. Ook claimt deze groep vrijwilligers gevoelige data van het Russische ministerie van defensie in handen te hebben. Deze claims kunnen niet altijd worden geverifieerd, wat onduidelijkheid en verwarring kan veroorzaken. 

    • 23 februari

    Er worden hevige DDoS-aanvallen uitgevoerd die gericht zijn op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar. Het gaat daarbij onder andere om de websites van diverse ministeries. Gelijktijdig worden er meerdere phishingcampagnes waargenomen. 

    Daarnaast maken gedurende de avond van 23 februari diverse partijen melding van een nieuwe wiper malware die zij hebben aangetroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

    • 21 februari

    De Oekraïense CERT-UA publiceert een website bericht over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer.

    • 15 februari

    Er vinden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne worden geraakt. Op 15 februari vindt ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er is geen sprake van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.

    Januari 2022

    • 26 januari

    CERT Ukraine (CERT UA) publiceert een deel van het onderzoek naar zowel de defacements als de aanval met de malware. In dit onderzoek worden grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

    Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van

    • 14 januari

    Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

    • 15 januari

    Microsoft publiceert een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

    • 14 januari

    De Oekraïense veiligheidsdienst SSU geeft een statement af over een aanval op websites van diverse overheidspartijen. Hierbij worden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch wordt aangegeven dat persoonlijke gegevens van Oekraïense burgers zijn gestolen en dat burgers zich moeten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU wordt duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikt over verhoogde rechten binnen de omgeving waardoor de websites kunnen worden aangepast.