Cyberkrig 2022 handlar mest om DDOS och information/desinformation

En kort sammanfattning om det inledande cyberkriget och lärdomar i samband med invasionen av Ukraina den 24:e februari.

I denna tid, där cyberoperationer sker varje dag, har vi nu fått bevittna och kunnat dra några preliminära lärdomar av hur cyberoperationer och cyberkrig kan se ut i samband med ett överfallskrig. Slutsatsen är att det inte är särskilt sofistikerat. Det handlar mest om DDOS-attacker och desinformation.

Sammanfattande tidslinje 13 Januari – 28 Februari

De cyberoperationer som genomförts i samband med invasionen med Ukraina kan beskrivas med följande sammanfattande tidslinje:

13 Januari: ”Whispergate”, ett ransomwareliknande malware, började synas hos Ukrainska organisationer och myndigheter. Whispergate saknade dock ransomware-liknande egenskaper utan fokuserade på att radera den infekterade datorns innehåll och kunde snarare klassas som ett wiperware.

14 Januari: Ca 70 hemsidor relaterade till Ukrainska myndigheter och organisationer blir hackade och visar varningsmeddelande innan sidorna går ned. Tjänsterna är uppe igen inom ett par timmar[1]

15 Februari: DDOS attacker mot de största bankerna, militär och ukrainsk radio[3]. Nedan kan man se hur attackerna slog mot oschadbank och privatbank.[2]

23 Februari: Dagen innan invasionen genomfördes förekom en stor del nätverksstörningar som kan härledas till både störningar i infrastruktur, strömavbrott och cyberattacker. [5] En ny typ av skadlig kod identifierades också på ett antal datorer. Denna var skild från WhisperGate som sågs i mitten av januari. Denna programvara hade dock samma syfte som whispergate, dvs radera infekterade datorer, och går under numera under namnet Hermetic Wiper. [4]

24 Februari: Internet är allmänt instabilt i de regioner i Ukraina där strider rapporteras. Däremot började DDOS attacker rapporteras mot Ryssland, däribland kremlin.ru, alfabank och Sberbank.[6]

Hackergrupper som Anonymous, valde aktivt Ukrainas sida. (Andra hackergrupper valde dock inte helt oväntat Rysslands sida, som t.ex. gruppen Conti.)  Olika typer av upprop, där hackers uppmanades att genomföra cyberangrepp mot ryska webbsidor kunde hittas på olika ställen på Internet. 

25 Februari: Stort antal sidor i Ryssland är otillgängliga, åtminstone från Sverige och andra delar i Europa. Ukrainska cyberpolisen rapporterade en lista över otillgängliga ryska webbsidor och attribuerade detta till sin egna förmåga och privata aktörer.[7] (Många av dessa sidor var även otillgängliga när jag själv testade att komma åt dem den 27 Februari.)

26 Februari: Ryssland stänger ned sina egna medborgares åtkomst till Twitter och Facebook. Nedstängningen är inte total, utan användarna upplever långa hämtningstider och vissa element på sidor kan inte hämtas. [8]

28 Februari: Nyhetsbyrån TASS, samt tidningarna Kommersant och Izvestia hackades, med meddelande till ryska folket. Meddelandet togs snabbt ned och kom upp ett par timmar senare.

Vilka är lärdomarna?

Det har visat sig att de sofistikerade malwaren Whispergate och Hermetic wiper inte fick det genomslag som angriparen skulle önskat sig. De upptäcktes snabbt och kunde motas snabbt. Det är dock värt att notera att Ukraina är det land i världen som har högst andel angrepp med malware och är vältränade sedan NotPetya att ta hand om dessa. De cyberangrepp som riktats mot Ukraina innan invasionen som gjort störts påverkan är de kooridinerade DDOS attackerna. Men även i detta fallet så har inte angreppen varat så pass länge att de kunnat skapa taktisk betydelse. Det som angreppen har åstadkommit har endast kunnat härledas till att skapa oro bland medborgare. Det verkar som att Ryssland överskattat betydelsen av de DDOS attacker som de genomfört mot Ukraina.

En intressant iakttagelse är vad som hände efter invasionen, är att Ukraina själva lyckats organisera upp och mobilisera DDOS attacker mot Ryssland som visat sig vara mer omfattande än de DDOS attacker som genomförts mot Ukraina. 

Förmågan att själv kunna sprida en lägesbild över situationen har visat sig vara mycket betydande.

Lärdomarna kan sammanfattas enligt nedan:

1. Ha bra förberedelser och beredskap på att upptäcka och hantera skadlig kod. (Detta kan vara av betydelse även för organisationer och företag i Sverige ifall skadlig kod som används i kriget lätt kan spridas över nationsgränser.)
2. Ha bra beredskap att återställa publika tjänster, samt att kunna återställa interna kritiska system.
3. Förbered en informationsstrategi där sociala plattformar används för att föra ut budskap och lägesbild.
4. DDOS attacker är fortfarande billiga och effektiva. Se till att ni har en strategi för att hantera DDOS-attacker.  

Referenser

[1] https://www.bbc.com/news/world-europe-59992531

[2] https://netblocks.org/reports/ukraine-banking-and-defence-platforms-knocked-out-russia-conflict-JBQX7mAo

[3] DDoS — On February 15, 2022, powerful DDoS attacks targeted Ukraine’s armed  (Webbvy)

[4] https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/?utm_source=twitter&utm_medium=cpc&utm_campaign=wls_ukraine&utm_term=hermetic_wiper&utm_content=blog

[5] https://netblocks.org/reports/internet-disruptions-registered-as-russia-moves-in-on-ukraine-W80p4k8K

[6] https://twitter.com/DougMadory/status/1496891872966594561?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1496891872966594561%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Ftherecord.media%2Frussia-appears-to-deploy-digital-defenses-after-ddos-attacks%2Fsamt

[7] https://cyberpolice.gov.ua/news/kiberpoliczejski-spilno-z-volonteramy-blokuvaly-sajty-okupanta-7967/  

[8] https://netblocks.org/reports/twitter-and-facebook-restricted-in-russia-amid-conflict-with-ukraine-JBZrogB6