Ukrainsk tjenestemenn tidligere denne uken sa de hadde lansert en sonde i kilden for en cyberattack på at målrettet Boryspil Internasjonale Flyplassen i Kiev.
Angrepet kan være relatert til BlackEnergy malware angrep som nylig målrettet ukrainske infrastruktur fasiliteter, tilsynelatende fra en kilde inne i Russland.
Computer Emergency Response Team i Ukraina (CERT-UA) på mandag advarte systemansvarlige til å være på vakt for tilstedeværelse av BlackEnergy malware.
Linker til Verktøy-Angrep
Bevisene viser en klar kobling til BlackEnergy malware som tok ned bedrifter og andre mål i de siste månedene, Robert Lipovsky, senior malware forsker på
Eset Nord-Amerika, fortalte TechNewsWorld.
Metodikken innebærer ofte en spearphishing e-post, decoy dokument, eller en kombinasjon av begge deler, i henhold til Eset.
Den BlackEnergy angrepet, som fant sted i desember,
var en koordinert tilsiktet cyberattack på ukrainsk kraftverk som angivelig venstre titusenvis av kunder i mørket.
“Etter å analysere informasjonen som er gjort tilgjengelig av berørte kraftforetak, forskere og media, og det er klart at cyber-angrep var direkte ansvarlig for strømbrudd i Ukraina,” bemerket John Hultquist, direktør for cyberespionage analyse på iSight-Partnere.
Angrepet på Prykarpattyaoblenergo verktøyet i Vest-Ukraina var en “milepæl” fordi det var den første store cyberattack å ha en betydelig effekt på en sivilbefolkning, i henhold til iSight. Malware intrusion og påfølgende denial-of-service angrep som resulterte i et strømbrudd som berørte minst 80,000 kunder.
Den Sandworm Team, en gruppe som har vært rettet mot ulike instanser rundt om i verden, inkludert NATO, den Europeiske Union, og ulike telekommunikasjon og energi-var ansvarlige for angrepet, ifølge iSight-Partnere.
Den Sandworm Team
har en historie med målretting ukrainske offentlige tjenestemenn, medlemmer av EU og NATO. Et angrep i 2014 var knyttet til bruk av zero-day exploit av CVE-2014-4114, et sikkerhetsproblem i Microsoft senere oppdatert.
Den nylige angrep mot ukrainske bedrifter ansatt en Trojaner kalt “Trojan.Disakil,” som
også funnet i de siste angrepene mot ukrainske medier selskaper.
Å bryte Ned Metodikk
Forskere bruker vanligvis flere markører for å avdekke kilden til en cyberattack, bemerket Wes Widner, direktør for threat intelligence og maskinlæring på
Norrøne.
En metode er å analysere kommando-og-kontroll servere malware angriperne bruker, fortalte han TechNewsWorld. Andre metoder inkluderer analysere koden likheter, strenger finnes i filen, og generell organisering av angrepet.
I dette tilfellet, den ukrainske tjenestemenn fastsatt at C2-servere har sin opprinnelse i Russland, Widner sa.
“Akkurat som kampstiler, malware har en tendens til å vise regional likheter,” påpekte han.
Målretting en flyplass er DET nettverket som potensielt kan føre til varig skade, fordi flyene er “fly-by-wire”, og en forstyrrelse som påvirker air traffic control system kan føre til ulykker under avgang eller landing, eller en mid-air collision, Widner sa.
“Dessuten, å kontrollere en flyplass nettverk kan også ha konsekvenser utenfor flyplassen, siden airport instrumenter er ofte brukt av været prognosemakere,” forklarte han. “Min gjetning er at Ukraina enten slapp unna en kule, eller annet angriper tippet sin hånd for å la den ukrainske regjeringen vet hvor sårbare de er.”
