„Fire Sale“ Cyberangriff trifft gesamte Industrie im gesamten Staat der Ukraine

Hi! Sie kennen mich vielleicht nicht, aber um es kurz zu machen, erwähne ich einfach, dass ich seit über 25 Jahren Cyberforensik, Untersuchungen und Sicherheitsbewusstsein beruflich betreibe. Vor ein paar Wochen wurde ich gerufen, um eine forensische Analyse für einen Kunden durchzuführen (sie sprachen von einem Mysterium rund um seltsame Systemaktionen und -reaktionen). Bei einer weiteren Analyse mit beiden Teams sahen sie Infektionen, die scheinbar das Active Directory nutzten, um sich sehr schnell im Netzwerk auszubreiten, und wir nahmen an, dass es sich um einen gezielten Angriff handelte. Was wir nicht wussten, war, dass Phase 1 von dem, was wir alle für eine Fiktion oder ein cooles Skript des Films Stirb Langsam 4.0 im Jahr 2007 hielten, gerade real geworden ist (man kann sich das nicht ausdenken…). Sie nannten es Feuerverkauf, einen Cyberangriff gegen ein ganzes Land (hallo hybride Kriegsführung und Cyberkrieg). Dieser Angriff führte letztendlich zu einem Zusammenbruch aller Computerkontrollen, was zu einem Wirtschaftscrash und anderen schlimmen Konsequenzen führte (wie zum Beispiel das Ausschalten einer ganzen Industrie…). Wie realistisch ist es, einen solchen Angriff durchzuführen? Nun, einer der führenden Anti-Malware-Experten der Branche, Eugene Kaspersky hat die Zukunft vielleicht vorausgesehen vor ungefähr 1,5 Jahren. Aber kommen wir einfach mal zu den Fakten: Es war ein normaler Sonntag, als mich einer der Sicherheitsanalysten der Medienindustrie in eine Telefonkonferenz mit einem anderen Unternehmen brachte, in dessen Vorstand ich bin. Es war nicht überraschend, dass sie mitten am Sonntag arbeiteten (so wie ich, also fragen Sie nicht), aber es waren eher die Fakten, die wirklich interessant und beängstigend waren: Die gesamte Medienindustrie und die TV-Kanäle berichteten gleichzeitig, dass sie unter einem unbekannten Cyberangriff standen, der Computeroperationen störte und sich in einer sehr unvorhersehbaren Weise verhielt. Der Angriff begann am Sonntag, dem 25. Oktober^th, gerade als landesweite Wahlen in der Ukraine stattfanden (Zufall?). Während mehrere Hacktivistengruppen versuchten, die Verantwortung für den Angriff zu übernehmen, gibt es nicht genügend (schlüssige) Beweise, um ihn einer bestimmten Partei zuzuschreiben – wir überlassen es den “Sonderdiensten” und Politikern, das herauszufinden.

Wie bereits erwähnt, war der Angriff eine verdeckte, mehrstufige Infektion der Infrastruktur eines Unternehmens, die ein Ziel nach dem anderen traf und Computer zum Neustart und schließlich unbootbar machte. In diesem Stadium schienen zwei Dinge offensichtlich: Wir hatten es mit einem gezielten Cyberangriff zu tun, möglicherweise mit politischen Motiven und ausgerichtet auf die Störung einer ganzen Industrie. Die Untersuchung hat jedoch zahlreiche Details aufgedeckt, die die ursprüngliche Annahme in Frage stellen…

Angriffssymptome und erste Eindrücke

Während wir auf einige Bestätigungen offizieller Ergebnisse durch einige 3-Buchstaben-Behörden warten, mit denen wir zusammenarbeiten, sowie engagierte Forensik- und Sicherheit-Malware-Umkehr-Ingenieure, und ein vollständiger Bericht durch ein lokales CERT erfolgen wird, teile ich, wie die Dinge an den Frontlinien aussahen.

Die Ziele umfassten mehrere Microsoft Windows-Plattformen, ohne Abhängigkeiten von Version oder Funktion, einschließlich Active Directory Domain Controllers, Desktops, Video-Bearbeitungs-Workstations, Buchhaltungscomputer usw.

Typisches beobachtbares Verhalten infizierter Geräte war ein unerwartetes Herunterfahren des Betriebssystems, nach dem das System unbootbar wurde: Der MBR fehlte (ich frage mich, warum…). Ein zweites Symptom war eine 100%ige Füllung der Systempartition, was, wie wir wissen, das Verhalten des Systems abnormal macht und gemäß Microsofts Empfehlung „ersucht, einen Systemadministrator zu kontaktieren“. Aus der Perspektive des internen Sicherheitsteams sah es so aus, als ob zufällige Windows-Maschinen vollständig abstürzten, ohne offensichtliche Gründe oder Zusammenhänge. Ein drittes und nicht weniger wichtiges Symptom war, dass sich alle Kollegen in der gleichen Branche gegenseitig anriefen und von denselben ersten 2 Symptomen berichteten…

Ein paar Dinge waren für mich an diesem Punkt klar:

• Es war ein gezielter Angriff, der gründlich geplant und orchestriert wurde, weit vor dem Datum, an dem er tatsächlich in Gang gesetzt wurde.
• Dies ist keine 0-Day-Schwachstellen-Ausnutzung. Der Angriff ist mehrstufig und beinhaltet entweder Social Engineering und Insider oder ein mehrschichtiges, modulares und synchronisiertes System von Bewaffnung, Lieferung und Kommando-Kontrolle, hallo Cyber Kill Chain Modell 😉
• Der Zeitpunkt des Angriffs ist nicht zufällig: Er fand genau am Tag der lokalen Staatswahlen statt, mit dem Ziel entweder die Berichterstattung über die Wahlen zu stören (was nie geschah) oder das Datum wurde als Täuschung genutzt, um vom Hauptzweck des Angriffs abzulenken. Dies könnte auch eine höllische Präsentation der neuen Fähigkeiten einer Cyberwaffe auf landesweiter Ebene gewesen sein.

Ich empfahl meinen Kollegen, sich zu wappnen, Zweifel beiseite zu legen und sich auf zwei Dinge zu konzentrieren: Minderung von Kollateralschäden und maximale Beweissammlung. Wir versuchten, alles zu bekommen, was wir konnten: PCAPs, Snapshots, Screenshots, Windows-Protokolle, SIEM & IPS-Warnungen, Speicherabbilder und natürlich Malware-Proben. Offensichtlich waren traditionelle Virenschutzprogramme und andere aktive Verteidigungssysteme still. Während der ersten 24 Stunden des Angriffs konnten wir einen Virus namens „ololo.exe“ erhalten und bei VirusTotal hochladen, nur um herauszufinden, dass kein einziger Virenschutz über diese Malware informiert war. Fortsetzung mit den Ergebnissen der Malware-Umkehranalyse und Ergebnisse der ersten Untersuchung…

Ergebnisse der ersten Untersuchung und der Malware-Umkehranalyse von Feuerverkauf Ukraine >>