Der unabhängige Bedrohungsforscher Snorre Fagerland arbeitet in Zusammenarbeit mit Bellingcat und Der Insiderhat einen offenbar als Kommando- und Kontrollzentrum dienenden Webdienst identifiziert, der bei früheren Cyberangriffen im Zusammenhang mit russischen Staatsinteressen eine Rolle gespielt hat.
Auf derselben Website wurden auch geklonte Kopien einer Reihe von Websites der ukrainischen Regierung gehostet, darunter die Hauptwebseite des Büros des Präsidenten. Andere geklonte (und modifizierte) Websites, die auf dem Dienst gefunden werden, sind die des ukrainischen Justizministeriums und eines von der Regierung betriebenen Petitionsportals. Diese geklonten Websites wurden frühestens im November 2021 erstellt, ungefähr zu der Zeit, als Russlands letzte Eskalationsrunde gegen die Ukraine begann.
Insbesondere die geklonte Version der Website des ukrainischen Präsidenten wurde so modifiziert, dass sie eine anklickbare „Support the President“-Kampagne enthält, die nach dem Anklicken ein Malware-Paket auf den Computer des Benutzers herunterlädt. Es ist nicht sicher, was der Zweck der Malware-Payload zu diesem Zeitpunkt ist, noch ob die Payload betriebsbereit war oder einfach nur ein Platzhalter für andere Malware war, die in einem entscheidenden Moment bereitgestellt werden sollte.
Link zu den Cyberangriffen auf die Ukraine im Jahr 2021
Die Art von Malware, die auf den geklonten ukrainischen Websites eingesetzt wird – die auf Subdomains der generisch klingenden Domain stun gehostet werden[.]Website sowie der gemeinsame Registrant des IP (und der Domain) – zeigen einen Link zu früheren Cyberangriffen auf die ukrainische Regierung vom April 2021 sowie auf die Regierung von Georgien. Diese Angriffe wurden zuerst von gemeldet FortiGuard Labsund später gefolgt von Intezer. Bei diesen Angriffen wurden Spear-Phishing-E-Mails an verschiedene sicherheitsrelevante Organisationen in der Ukraine und Georgien gesendet, wobei Social-Engineering-Köder mit Betreffzeilen wie „Neue COVID-21-Variante“ und „Ein dringendes Computer-Update“ verwendet wurden. Das Ziel dieser Angreifer war anscheinend, sensible Dokumente und Dateien zu stehlen sowie die zu installieren Saint Bot-Downloader Malware auf den Computern der Zielpersonen. In der Ukraine richteten sich die Angriffe gegen eine Militärveteranenorganisation und die militärische Anti-Terror-Operation (ATO), die für die Abwehr der russischen Militärintervention im Donbass verantwortlich ist.
Die Angriffe von 2021 wurden von der Gemeinschaft der Bedrohungsforscher einem neuen Akteur, (TA) 471, zugeschrieben. Intezerneben anderen Forschern, schrieb den Angriff vorläufig der Hacking-Abteilung des russischen Militärgeheimdienstes (GRU) zu, bekannt als APT28 oder Ausgefallener Bär. Ihre Schlussfolgerung basierte jedoch nicht nur auf der aufschlussreichen Auswahl der Ziele der Angriffe, zu denen auch ausländische Sicherheitsakteure gehörten, die für den russischen Staat von Interesse waren. Die Angriffe von 2021 hatten auch einen ähnlichen Ansatz wie frühere bestätigte APT28-Kampagnen. Dazu gehörten die vorherige Verwendung von Phishing-Themen im Zusammenhang mit Covid-19 und der NATO, die auf die Ukraine abzielen AutoIt-Malware-SkriptingGebrauch von Hex-Codierung, Batch-Dateien, Power Shells und cmd-Skripte. Darüber hinaus wurden die historischen IPs hinter den als Kommando- und Kontrollzentren verwendeten Domainnamen alle russischen Eigentümern zugeschrieben.
Die Domäne, in der die ukrainischen geklonten Regierungsseiten gefunden wurden, scheint mit demselben Akteur verbunden zu sein, der hinter den Angriffen von 2021 steckte. Laut dem Bedrohungsforscher Snorre Fagerland, der als Erster den Cluster von Clone-Site-Subdomains entdeckte, wird dies nicht nur durch die Muster der Domainnamen (Domains, die in der Kampagne 2021 verwendet wurden) belegt inbegriffen eumr[.]Website, 3236[.]Seite 3237[.]Seite 3238[.]Website), sondern auch durch die Gemeinsamkeiten von Malware, die auf diesen Websites gehostet wird, und betäuben[.]Website und Ähnlichkeiten in Domain-Registrierungsinformationen.
Angriff der Klonkrieger
Trotz der Ähnlichkeit bei gehosteter Malware unterschied sich das neu gefundene Depot (das offline genommen wurde, nachdem Bedrohungsforscher die Hosting-Provider alarmiert hatten) von den Websites, die bei den Cyberangriffen von 2021 verwendet wurden. Dieses Depot beherbergte Klone von Websites der ukrainischen Regierung, die anscheinend auf die breite Öffentlichkeit abzielten, nicht auf eine bestimmte Untergruppe von sicherheitsrelevanten Personen, die wahrscheinlich nicht öffentliche sensible Daten besitzen, die für einen feindlichen staatlichen Akteur von Interesse sind. Darüber hinaus enthalten die meisten der identifizierten geklonten Websites Anmeldeseiten, die für den Diebstahl von Anmeldeinformationen in größeren Phishing-Kampagnen nützlich sein könnten. Die einzige Ausnahme war eine Subdomain, die als Anmeldeportal für Mitglieder der Werchowna Rada, des ukrainischen Parlaments, erscheinen sollte.
Zu den auf dieser Website gehosteten Subdomains gehörte ein Klon der Website des Justizministeriums, zuvor unter http://erb.minjust.gov.ua.stun[.]Seite? ˅und erstmals am 21. Dezember 2021 entdeckt. Ein weiteres war ein Portal zum Unterzeichnen von Petitionen, das vom Büro des Präsidenten betrieben wurde, zuvor unter http://petition.president.gov.ua.petition.president.stun[.]Seite? ˅, und erstmals gesehen am 27. November 2021.
„Unterstützen Sie Mr. President“
Mindestens eine der geklonten Websites wird auf stun gehostet[.]richtete sich an ein sehr breites Zielpublikum und zielte offenbar darauf ab, einen möglichst großen Teil der Bevölkerung zu infizieren. Es war die offizielle Website des ukrainischen Präsidenten – oder zumindest sah es so aus.
Es wurde jedoch so modifiziert, dass nach einer festgelegten Zeit von mehreren Sekunden ein Popup geladen wird. Das Popup (siehe Screenshot unten) forderte die Besucher auf, „Mr. President zu unterstützen“, das Eigentum aller Oligarchen zu beschlagnahmen und „es unter allen Bürgern zu teilen“. Ein großer gelber Knopf forderte die Besucher auf, darauf zu klicken und eine Petition zu unterschreiben, vermutlich zur Unterstützung dieser Verstaatlichungskampagne. Der Text der Einladung – geschrieben auf Ukrainisch – war grammatikalisch korrekt, wurde aber in einem sprachlichen Stil geschrieben, der laut Bellingcat laut drei ukrainischen Muttersprachlern nicht von einem fließend Ukrainisch hätte geschrieben werden können – einschließlich der Verwendung des Satzes „Support Mr. President“. .
Bei der Inspektion der geklonten Website (zwischen dem 11. und 14. Februar 2022) würde das Klicken auf die Schaltfläche den Download einer ZIP-Datei mit Malware auslösen, die unter dem irreführenden Namen „PDF – Петиція щодо повернення майна громадянам України“ versteckt ist. [Petition to return property to the citizens of Ukraine]. Die Datei war eigentlich keine PDF-Datei, sondern hatte eine ausführbare cpl-Erweiterung (Systemsteuerung). Eine VirusTotal-Analyse ergab, dass diese Datei eine Host von Malware, der das Verhalten von Trojanern nachahmt.
Mögliche Ziele
Es ist nicht klar, welche Funktionalität die infizierte Datei hätte, wenn sie erfolgreich bereitgestellt worden wäre. Es ist auch nicht bekannt, ob die Absicht des Angreifers darin bestand, sich in die ursprüngliche Domain der Website des Präsidenten zu hacken und sie durch den Klon zu ersetzen (oder umzuleiten) – oder, in einem bescheideneren Szenario, Besucher direkt zum geklonten zu locken Website über Links auf anderen Websites oder E-Mails.
Der hypothetische Einsatz eines Trojaners bei Zehn- oder Hunderttausenden von Ukrainern hätte jedoch in der Lage sein können, der ukrainischen Internetinfrastruktur unkalkulierbaren Schaden zuzufügen – zum Beispiel durch Kooptieren aller infizierten Computer in einen verteilten DDoS-Angriff auf eine Vielzahl von Websites – wie die, auf die heute abgezielt wird. Gleichzeitig hätte es Dateien auf den Computern der infizierten Benutzer den Angreifern zugänglich gemacht – obwohl dies angesichts des unspezifischen Personenkreises, auf den solche Masseninfektionsmethoden abzielen, ein weniger nützliches Ergebnis wäre. Ein anderes Ergebnis, das Fagerland für mindestens ebenso plausibel wie die DDoS-Hypothese hielt, war, dass ein solch massiver Einsatz von Trojanern darauf abzielen könnte, Zugangsdaten für Social-Media-Konten zu stehlen – möglicherweise mit dem Ziel, sie in nachfolgenden Online-Desinformationskampagnen zu verwenden.
Ein zusätzliches hypothetisches Ergebnis könnte mit der Schaffung politischer Verwirrung und Instabilität in Verbindung gebracht worden sein: Die Köderbotschaft – beschlagnahmen Sie das Eigentum aller Oligarchen – harmoniert mit Präsident Selenskyjs eigener politischer Botschaft zur „Entoligarchisierung der Ukraine“. Aber Beschlagnahme und Umverteilung sind viel radikaler als alles, was Selenskyj öffentlich vertreten hat; die weite Verbreitung eines solchen Vorschlags hätte wahrscheinlich zu einer Spaltung und weiteren Polarisierung in der ukrainischen Gesellschaft geführt.
Es gibt keine Beweise dafür, dass die Infrastruktur und Malware hinter der Betäubung steckt[.]Standort-Kommando- und Kontrollzentrum wurde verwendet oder mit den heutigen Cyberangriffen verbunden, die von ukrainischen Regierungsinstitutionen erlebt wurden. Die ungewöhnliche Form der beabsichtigten Verbreitung von Malware – über einen massentauglichen Klon einer Website des Präsidenten des Landes – zeigt jedoch die potenzielle Absicht, der Infrastruktur des Landes großen Schaden zuzufügen, möglicherweise über einen DDoS-Angriff mit einem beispiellosen Verbreitungsumfang .
Bemerkenswerterweise waren es im gleichen Zeitraum (Januar und Februar 2022) dieselben Bedrohungsakteure Senden von Malware in über 35 verschiedenen ZIP-Dateien über Discord-Links. Diese Pakete schienen auf hochwertige ukrainische Ziele abzuzielen – wie die Dateinamen belegen, die Domains der ukrainischen Nuklearbehörde (atom.gov.ua), des Außenministeriums (mfa) und ihres Verteidigungsministeriums (mil.gov. ua).
Die einmal eingesetzte Malware verband sich wieder mit 3237[.]site – eine Domain, die den üblichen Registrierungsverlauf und die Malware-Ladung als Stun aufwies[.]Seite? ˅. Dies zeige, dass die Bedrohungsakteure hinter der Kampagne „Support Mr. President“ über eine ausgeklügelte, diversifizierte und facettenreiche Infektions- und Störungsstrategie verfügten, die mit den Fähigkeiten und Bedürfnissen eines feindlichen nationalstaatlichen Akteurs vereinbar sei, sagte Fagerland.
Bellingcat ist gemeinnützig und die Fähigkeit, unsere Arbeit auszuführen, hängt von der freundlichen Unterstützung einzelner Spender ab. Wenn Sie unsere Arbeit unterstützen möchten, können Sie das tun Hier. Sie können auch unseren Patreon-Kanal abonnieren Hier. Abonnieren Sie unsere Newsletter und folgen Sie uns auf Twitter Hier.