Digitale aanvallen Oekraïne: een tijdlijn

Tijdlijn

1. Februari 2023

   1. 20 februari

      De AIVD en MIVD publiceren de brochure: "24/2 - De Russische aanval op Oekraïne: een keerpunt in de geschiedenis". In deze gezamenlijke publicatie geven de AIVD en MIVD inzicht in de betekenis van deze oorlog, nu en in de toekomst.

   2. 17 februari

      De Pro-Russische hacktivistische actor "Mysterious Team" claimt op Telegram 10 Nederlandse publieke websites onbeschikaar te hebben gemaakt in de transportsector, doormiddel van DDoS-aanvallen.

   3. 8 februari

      Symantec heeft een campagne waargenomen, waarbij de aan Rusland gelinkte actor " Nodaria group" malware heeft ingezet voor het verkrijgen van (gevoelige) gegevens. De campagne dateert van oktober 2022 en heeft tot en met januari 2023 plaatsgevonden en was met name gericht op Oekrainse organisaties.

   4. 7 februari

      De Moldavische premier Natalia Gavrilita beschuldigd Rusland van het uitvoeren van digitale aanvallen en het verspreiden van desinformatie om Moldavië te destabiliseren.

   5. 6 februari

      CERT-UA heeft een phishing campagne waargenomen, waarbij de afzender zich voordoet als JSC "Ukrtelecom". De malafide e-mails bevatten een RAR-bestand. Interactie met het RAR-bestand, resulteert in een aanvullende met een wachtwoord beschermd RAR-bestand en een tekstbestand, genaamd: "your personal access code -254507.txt". Dit tweede bestand kan geopend worden door het wachtwoord uit het tekstbestand in te voeren. Dit resulteert in een EXE-bestand. Het uitvoeren van het EXE-bestand door het slachtoffer zorgt voor de installatie van legitieme software om systemen op afstand te beheren. Hiermee kan de actor (gevoelige) gegevens van het slachtoffer te verkrijgen

   6. 5 februari

      Er hebben DDoS-aanvallen plaatsgevonden op publieke websites van diverse Westerse ziekenhuizen waaronder in Nederland. Dit heeft in enkele gevallen geleid tot de onbeschikbaarheid van de websites. De slachtoffer organisaties komen overeen met een door de Pro-Russische hacktivistische hackersgroep KillNet eerder aangekondigde doelwittenlijst.

2. Januari 2023

   1. 28 januari

      Het ministerie van Defensie van Letland heeft phishing aanvallen waargenomen tegen medewerkers van het ministerie, aldus Therecord. Volgens CERT-LV, was de digitale aanval “ongebruikelijk” omdat de aanvallers in de laatste fase van de aanval, na detectie, bewust met de onderzoekers communiceerde. Een woordvoerder van het Letse Ministerie van Defensie bevestigde dat de digitale aanval hoogstwaarschijnlijk is uitgevoerd door de Russische hackersgroep Gamaredon.

   2. 27 januari

      -NCSC-UK waarschuwt voor (spear)phishing-aanvallen van de Russische hackersgroep SEABORGIUM en de Iraanse hackersgroep TA453. Het doel van de (spear)phishing-aanvallen is het verkrijgen van (gevoelige) informatie van Defensie-, Overheid-, Academische organisaties, NGO’s, journalisten en politici.

      -De Pro-Russische hacktivistische hackersgroep "KillNet" heeft op Telegram aangekondigd dat ziekenhuizen uit VS, Portugal, Spanje, Duitsland, Polen, Finland, Noorwegen, Nederland en Het Verenigd Koninkrijk potentieel doelwit van DDoS-aanvallen zijn.

      -ESET en CERT-UA hebben een campagne waargenomen waarbij nieuwe de wiper-malware SwiftSlicer is ingezet. De wiper-malware, is samen met HermeticWiper en CaddyWiper op 25 januari 2023 ontdekt op het netwerk van een Oekraïense nieuwsorganisatie. De nieuwe wiper heeft als doel om het systeem zo te beschadigen dat het niet meer functioneert.

   3. 14 januari

      GitHub heeft accounts uitgeschakeld van de Pro-Russische hacktivistische groep "NoName057(16)",. Deze hackersgroep wordt in verband worden gebracht met digitale aanvallen op entiteiten in NAVO-landen, waaronder pogingen om publieke websites van de Deense centrale bank en andere financiële instellingen te verstoren. De actor, NoName057(16), gebruikte het softwareontwikkelingsplatform om zijn gedistribueerde denial of service (DDoS)-software en code, te hosten.

   4. 5 januari

      Mandiant heeft een campagne waargenomen waarbij reeds met ANDROMEDA-malware geïnfecteerde systemen, verder uitgebuit worden met de aanvullende malware KOPILUWAK en QUIETCANARY. De malware KOPILUWAK wordt ingezet voor verkennings doeleinden. QUIETCANARY wordt ingezet voor command-and-control functionaliteit en het uitvoeren van commando’s. De digitale aanvallen zijn gericht op Oekraïense entiteiten.

3. December 2022

   1. 18 december

      Cert-UA heeft de verspreiding van malafide e-mails uit naam van Oekraïense Defensiemedewerkers waargenomen. De e-mail bevat een link naar een .ZIP-bestand. Interactie met de link resulteert in het downloaden van het .ZIP-bestand met daarin een door VMProtect beschermd .EXE-bestand. Door het uitvoeren van het .EXE-bestand wordt de RomCom-malware gelanceerd, wat vervolgens malware uitvoert voor het verkrijgen van (gevoelige) gegevens.

   2. 15 december

      Mandiant waarschuwt voor de verspreiding van malafide ISO-bestanden via Torrent sites. De ISO-bestanden komen over als legitieme Windows 10-installatieprogramma’s, maar bevatten malware om (gevoelige) gegevens te verkrijgen of om kwaadaardige software uit te voeren. Volgens Mandiant was de activiteit met name gericht op Oekraïense overheidsinstanties.

   3. 8 december

      Cert-UA waarschuwt Oekraïense organisaties voor malafide e-mails uit naam van de Staatshulpdienst Oekraïne. De e-mail bevat een thematiek die zich richt op het waarnemen van kamikaze-drones. De e-mail bevat als bijlage een .RAR-bestand, die een PowerPoint-bestand bevat. Bij interactie met het bestand wordt uiteindelijk de malware DolphinCape-malware uitgevoerd. DolphinCape bevat functionaliteit om gevoelige gegevens te verkrijgen uit systemen.

4. November 2022

   1. 23 november

      Een DDoS-aanval heeft rond 16:20 geresulteerd in het tijdelijk niet bereikbaar zijn van de website van het Europese parlement. Volgens parlementsvoorzitter Roberta Metsola heeft een pro-Russisch hackerscollectief de verantwoordelijkheid voor de cyberaanval opgeëist.

   2. 21 november

      Op Twitter meldt ESET dat zij bij diverse Oekrainse organisaties digitale aanvallen hebben gedetecteerd , waarbij gebruik wordt gemaakt van de "RansomBoggs" ransomware. De waargenomen kenmerken komen volgens ESET overeen met eerdere digitale aanvallen van de Russische actor Sandworm.

   3. 18 november

      De activistische actor Belarusian Cyber-Partisans claimt op Twitter toegang te hebben tot het netwerk van de General Frequency Control Center (GRFC). De actor zou systemen versleuteld hebben en gevoelige informatie hebben verkregen.

   4. 16 november

      Tijdens de Aspen Cyber Summit zei Mieke Eoyang (plv. adjunct-minister van Defensie voor Cyberbeleid) dat Russisch cyberpersoneel onderpresteert. Aanleiding hiervan zou mede zijn dat Moskou “zich niet had voorbereid dat dit conflict zolang zou duren”, aldus Eoyang

   5. 10 november

      De Microsoft Threat Intelligence Center (MSTIC) schrijft de digitale aanvallen waarbij de "Prestige ransomware” is gebruikt toe aan de Russische actor IRIDIUM. De waargenomen activiteit, zoals beschreven op 14 oktober in deze tijdlijn, heeft overlappende kenmerken met digitale aanvallen van IRIDIUM, ook bekend als Sandworm.

   6. 8 november

      Cert-UA heeft de verspreiding van malafide e-mails uit naam van de Staats communicatiedienst van Oekraïne waargenomen. De e-mail bevat een link naar een HTML-bestand met JavaScript-code. Interactie met de link resulteert in het downloaden van het HTML-bestand, wat een .RAR-bestand aanmaakt op het systeem van het slachtoffer. Het genoemde .RAR-bestand bevat een LNK-bestand wat na het starten zorgt voor het downloaden en starten van een HTA-bestand. Dit maakt een Scheduled Task aan, wat na de lancering scriptcode uitvoert voor het downloaden van aanvullende malware, bijvoorbeeld om (gevoelige) informatie te verkrijgen. Cert-UA schrijft de activiteit toe aan de Russische actor Gamaredon.

   7. 4 november

      De Federal Bureau of Investigation (FBI) heeft een beveiligingsadvies gepubliceerd waarin zij waarschuwt voor activistische Pro-Russische DDoS-aanvallen. Het advies volgt op diverse waargenomen DDoS-aanvallen op kritieke infrastructuur in de Verenigde Staten. Hoewel de DDoS-aanvallen vaak een beperkte impact hebben, adviseert de FBI toch een aantal mitigerende maatregelen te nemen om de kans hierop te verkleinen.

      
      Op de website van het NCSC staat verdiepende informatie om te voorkomen dat uw onlinedienstverlening onbereikbaar wordt door een DDoS-aanval:

      - Factsheet Continuïteit van online diensten 

      - Factsheet Technische maatregelen voor continuïteit voor online diensten 

      - Anti-DDoS-Coalitie

   8. 1 november

      De Britse regering heeft bekend gemaakt, kort na de inval van Rusland een cyber-steunpakket van 6,35 miljoen pond beschikbaar te hebben gesteld aan Oekraïne. Hiermee heeft het VK, Oekraïne ondersteunt in het beschermen van haar kritieke infrastructuur en publieke diensten. Het cyber-steunpakket volgde op het toenemende tempo van Russische cyberactiviteiten richting Oekraïne daags na de invasie.

5. Oktober 2022

   1. 21 oktober

      Cert-UA heeft verspreiding van malafide e-mails uit naam van de Oekrainse persdienst van de Generale staf van de Oekrainse strijdkrachten waargenomen. De e-mail bevat een link naar een externe website, met daarop de melding dat het noodzakelijk is om een software update uit te voeren. Gebruikersinteractie resulteert in het downloaden van een uitvoerbaar bestand. Bij het uitvoeren daarvan wordt het systeem besmet met RomCom malware. Door o.a. het gebruik van RomCom malware, acht Cert-UA het mogelijk de activiteit toe te wijzen aan de actor achter de Cuba Ransomware.

   2. 14 oktober

      Microsoft Threat Intelligence Center (MSTIC) heeft een nieuwe ransomware-campagne, gericht op transport- en logistieke organisaties in Oekraïne en Polen, waargenomen. De ransomware die hierbij wordt gebruikt, wordt “Prestige ransomware” genoemd.
      Volgens MSTIC heeft de campagne een aantal opvallende kenmerken waardoor deze zich onderscheidt van andere, door Microsoft gevolgde, ransomware-campagnes:
      - Er (deels) een overlap met de slachtoffers van de HermeticWiper malware
      - MSTIC kan de kenmerken van deze nieuwe ransomware-campagne niet verbinden aan een van de 94 ransomwaregroepen die Microsoft actief volgt
      - De bedrijfs-brede implementatie van ransomware is niet gebruikelijk in Oekraïne

   3. 11 oktober

      FortiGuard Labs heeft een technische analyse gepubliceerd over de verspreiding van Cobalt Strike Beacon-malware. Hierbij wordt gebruik gemaakt van een malafide Excel-bestand dat zich voordoet als hulpmiddel om de salarissen van Oekraïense militairen te berekenen. De malwarecampagne laat zien hoe kwaadwillenden de oorlog in Oekraïne gebruiken voor de uitvoering van digitale aanvallen.

   4. 10 oktober

      Websites van meerdere Amerikaanse luchthavens, waaronder die van Atlanta (ATL), Los Angeles (LAX), Chicago (ORD) en Orlando (MCO), zijn getroffen door DDoS-aanvallenDaardoor waren de websites tijdelijk ontoegankelijk. De aanvallen worden toegekend aan de hackersgroep Killnet. De aanvallen zouden geen effect hebben gehad op vluchten van en naar de luchthavens.

   5. 6 oktober

      Hackersgroep Killnet claimt een aantal Amerikaanse overheidswebsites offline te hebben gehaald. Het betreft websites van de staten Colorado, Mississippi en Kentucky. De hackersgroep had al op Telegram kenbaar gemaakt Amerikaanse overheidswebsites als doelwit te hebben. De meeste getroffen websites waren op dezelfde dag weer online.

   6. 2 oktober

      Volgens het Oekraïense nieuwsplatform Kyiv Post zouden Russische hackers van de National Republican Army (NRA) een ransomware-aanval op het Russische bedrijf Unisoftware hebben uitgevoerd. Volgens het platform zouden persoonlijke gegevens van klanten zijn gestolen. Ook de Russische overheid zou klant zijn van Unisoftware, volgens de Kyiv Post. De mobilisatie van Russische burgers zou aanleiding zijn geweest voor de digitale aanval.

6. September 2022

   1. 29 september

      De Finse veiligheids- en inlichtingendienst SUPO waarschuwt voor mogelijk verhoogde Russische digitale spionageactiviteit aankomende winter. De waarschuwing hiervoor zou voortkomen uit een Russisch gebrek aan human intelligence (humint), omdat veel Russische diplomaten westerse landen zijn uitgezet. Ook vanwege de westerse sancties kan Rusland inlichtingen willen vergaren over de ontwikkeling van hoogwaardige technologie, meldt de dienst. Daardoor houdt SUPO extra rekening met industriële spionage vanuit Rusland.

   2. 26 september

      Het Oekraïense ministerie van Defensie waarschuwt voor grootschalige Russische digitale aanvallen op kritieke infrastructuur in Oekraïne en zijn bondgenoten. Volgens het ministerie zou Rusland ook de intensiteit van DDoS-aanvallen proberen te verhogen. Deze aanvallen zouden met name op Polen en de Baltische staten gericht zijn.

   3. 20 september

      Hackers van het Oekraïense leger zouden de website van het Russische huurlingenbedrijf Wagner hebben gehackt. Volgens de Oekraïense minister van Digitale Transformatie zijn daarbij persoonsgegevens buitgemaakt van alle huurlingen die bij de organisatie zijn aangesloten.

   4. 19 september

      Recorded Future heeft een analyse gepubliceerd over de actor UAC-0113, die mogelijk gelinkt is aan de Russische APT Sandworm. De actor doet zich voor als Oekraïense telecomorganisaties en zet html-smuggling in voor de verspreiding van malware. Volgens Recorded Future zijn de digitale aanvallen waarschijnlijk gericht op doelen in Oekraïne.

   5. 16 september

      Cisco Talos waarschuwt voor een campagne van de Russische APT Gamaredon. In deze campagne zet de actor malware in de vorm van een information stealer in. De malware wordt verspreid door middel van phishing-mails over de oorlog en is gericht op Oekraïners.

   6. 9 september

      Google publiceert in een blogpost dat zij een toenemend aantal financieel gemotiveerde hackersgroepen zien die zich specifiek richten op organisaties in Oekraïne. Een van deze groeperingen: UAC-0098, die zich in het verleden als ransomware initial access broker met name heeft gericht op ransomware aanvallen, richt zich nu op Oekrainse (overheids)organisaties en Europese non-profit organisaties. De actor heeft verschillende phishing aanvallen uitgevoerd, waarbij ze zich voor deden als de Nationale Cyber Politie van Oekraine, Microsoft en Starlink.

   7. 2 september

      Hackerscollectief Anonymous beweert de grootste taxi service in Rusland, Yandex Taxi, te hebben gehackt. Door meerdere taxi’s naar dezelfde locatie te sturen zijn diverse files in Moscow veroorzaakt.

7. Augustus 2022

   1. 16 augustus

      Het Oekraïense nucleaire agentschap Energoatom maakt melding van een Russische digitale aanval tegen zijn website. Volgens het agentschap zette de hackersgroep People’s Cyber Army 7,25 miljoen bots in om de website onbereikbaar te maken. Volgens Energoatom heeft de aanval geen impact gehad op de werking van de site.

   2. 15 augustus

      Microsoft waarschuwt voor phishing-aanvallen van de Russische hackersgroep SEABORGIUM.  Volgens Microsoft is de groep waarschijnlijk uit op spionage. SEABORGIUM richt zich voornamelijk op NAVO-landen, Scandinavië en Oost-Europa, waaronder Oekraïne. De oorlog in Oekraïne wordt door deze groep ook gebruikt als onderwerp voor phishing-mails.

      Symantec publiceert een blog over de activiteiten van de Russische APT Gamaredon. Volgens Symantec heeft Gamaredon tussen 15 juli en 8 augustus digitale aanvallen met Infostealer-malware uitgevoerd op Oekraïense organisaties. De blog volgt op de waarschuwing van CERT-UA voor phishing-emails van Gamaredon (zie update 26 juli).

   3. 13 augustus

      De pro-Russische hackersgroep Killnet beweert een DDoS-aanval te hebben uitgevoerd op defensieconcern Lockheed Martin. De groep zou ook persoonlijke gegevens hebben gestolen van medewerkers tijdens een digitale aanval en dreigen deze te publiceren.

   4. 11 augustus

      De nationale CERT van Letland, CERT-LV, meldt op Twitter dat een DDoS-aanval heeft plaatsgevonden op het Letse parlement, de Saeima. De digitale aanval vond plaats nadat de Saeima een verklaring heeft aangenomen die Rusland tot staatssponsor van terrorisme aanwijst. Volgens CERT-LV is het werk van de Saeima niet verstoord geraakt.

   5. 10 augustus

      CERT-UA registreert 203 digitale aanvallen in de maand juli. De CERT van Oekraïne meldt dat het aantal aanvallen op vertegenwoordigers van de Oekraïense staat en financiële instellingen in de maand juli is toegenomen. De twee meest gehackte sectoren zijn de (nationale en lokale) overheid, die in juli werd getroffen door 56 digitale aanvallen, gevolgd door 24 aanvallen op de veiligheids- en defensiesector.

   6. 9 augustus

      De Finse publieke omroep YLE meldt dat website van het Finse parlement is getroffen door een denial of service-aanval. Een Russische hackersgroep die zichzelf NoName057(16) noemt, zegt op zijn Telegram-kanaal achter de aanval te zitten. De aanval begon dinsdag 9 augustus rond 14.30 uur. Om 22.00 uur was de website weer bereikbaar.

      The Telegraph schrijft dat Britse autoriteiten onderzoek doen naar digitale aanvallen tegen het Britse cryptocurrency-platform Currency.com. Volgens The Telegraph voeren hackers sinds april bijna dagelijks digitale aanvallen uit op het bedrijf, nadat het zich terugtrok uit Rusland wegens de oorlog.

   7. 8 augustus

      VMWare meldt in haar jaarlijkse Global Incident Response Threat Report een toename van digitale aanvallen sinds de start van de oorlog in Oekraïne. 65% van de ondervraagde cybersecurity-professionals ziet meer digitale aanvallen sinds de Russische invasie.

   8. 4 augustus

      Meta heeft haar Quarterly Adversarial Threat Report (Q2 2022) gepubliceerd. Hierin meldt Meta dat zij afgelopen april een trollenfabriek in St Petersburg heeft ontmanteld. De trollenfabriek zou op sociale media pro-Russisch commentaar leveren over de oorlog.

   9. 2 augustus

      De Oekraïense SSU laat op haar website weten dat ze een botfarm heeft ontmanteld. De botfarm verspreidde desinformatie met als doel de sociale en politieke situatie in Oekraïne te destabiliseren. De verspreide desinformatie ging over activiteiten van de  hoogste militaire en politieke leiders in Oekraïne. Volgens de SSU maakte de makers van de botfarm gebruik van meer dan een miljoen online nep-accounts en social media groepen met meer dan 400.000 gebruikers.

8. Juli 2022

   1. 27 juli

      CERT-UA waarschuwt voor phishing-mails, zogenaamd afkomstig van het Rode Kruis, waarin om donaties wordt gevraagd voor Oekraïense vluchtelingen. De berichten bevatten een linkje naar een phishing-site die een Oekraïense bank nabootst. Inloggegevens die op deze site worden ingevuld, belanden in de handen van de aanvallers.

   2. 26 juli

      CERT-UA waarschuwt voor digitale aanvallen van de hackersgroep Gamaredon. De aanvallers maken gebruik van phishing-emails met een malafide bijlage. Interactie met deze bijlage resulteert in het downloaden en installeren van GammaLoad.PS1_v2-malware.

   3. 21 juli

      Volgens de Oekraïense overheidsinstantie SSSCIP heeft een digitale aanval plaatsgevonden op de TAVR mediagroep. Onder deze mediagroep vallen negen grote Oekraïense radiostations. De aanvallers hebben op de radio desinformatie verspreid over de gezondheid van president Zelensky

   4. 20 juli

      Na een toename van digitale aanvallen gerelateerd aan de oorlog tussen Rusland en Oekraïne waarschuwt de Europese Raad voor onaanvaardbare risico’s van spill-over-effecten, verkeerde interpretaties en mogelijk verdere escalatie. De laatste distributed denial-of-service (DDoS)-aanvallen tegen verschillende EU-lidstaten en haar partners die door pro-Russische hackersgroepen werden opgeëist, zijn een voorbeeld van het verhoogde en gespannen cyberdreigingslandschap. De EU roept lidstaten op de bewustwording van cyberdreigingen te vergroten en preventieve maatregelen te nemen om kritieke infrastructuur te beschermen.

      Het U.S. Cyber Command heeft in samenwerking met de Oekrainse veiligheidsdienst, indicatoren (IOCs) gedeeld over waargenomen malware in Oekraïne. Ook Mandiant heeft hier een blogpost met aanvullende details over gepubliceerd.

   5. 19 juli

      Na Microsoft en Mandiant waarschuwt ook Unit42 van Palo Alto voor (spear) phishing aanvallen van de uit Rusland opererende actor APT29. De phishing e-mails worden verstuurd uit naam van een organisatie en bevatten een malafide HTML-bestand of een link naar een HTML-bestand op een cloud storage dienst zoals DropBox of Google Drive. Interactie met dit HTML-bestand resulteert in het uitvoeren van Javascript code, waarmee een ISO-bestand of IMG-bestand aan het systeem wordt toegevoegd. In het IMG- of ISO-bestand is een snelkoppeling zichtbaar. Andere bestanden, zoals EXE en DLL-bestanden, zijn onzichtbaar gemaakt. Door de snelkoppeling te openen wordt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

      Google publiceert in een blogpost dat zij door verschillende actoren, digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

      • De vanuit Rusland opererende actoren APT28 en Sandworm hebben volgens Google meerdere phishing aanvallen uitgevoerd, waarbij misbruik werd gemaakt van de kwetsbaarheid met het kenmerk CVE-2022-30190 (Follina). Het NCSC heeft in een beveiligingsadvies gewaarschuwd voor deze kwetsbaarheid
      • De organisatie heeft activiteit vanuit de uit Rusland opererende actor COLDRIVER waargenomen. Volgens Google zou de actor phishing-pogingen hebben ondernomen op onder meer overheidsmedewerkers, politici, NGO's en journalisten
      • De vanuit Rusland opererende actor TURLA heeft tijdelijke een neppe "anti-ddos" app aangeboden en hierbij deden zij zich voor als het Oekraïense Azov Regiment

      • Tot slot meldt Google dat de actor Ghostwriter (Belarus) actief phishing aanvallen heeft uitgevoerd richting Poolse burgers

   6. 11 juli

      Cert-UA waarschuwt voor digitale aanvallen op Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De bijlage is een XLS-bestand en bevat een marco.
      De activering van de macro leidt tot het uitvoeren van het bestand "baseupd.exe". Hierdoor raakt het systeem uiteindelijk besmet met Cobalt Strike Beacon malware.

   7. 6 juli

      Op 6 juli meldt het Letse Radio en Televisie center LVRTC, langdurige last hebben gehad van een distributed denial-of-serviceaanval (DDoS). Om de digitale aanval te beperken, heeft LVRTC de toegang tot bepaalde diensten tijdelijk beperkt. Met als gevolg dan verschillende diensten niet meer beschikbaar waren.

   8. 5 juli

      NCSC-UK waarschuwt organisaties voor een lange periode van verhoogde dreiging door het conflict in Rusland en Oekraïne. NCSC-UK beoordeelt dat de cyberdreiging voor het VK als gevolg van het conflict blijft toenemen. Organisaties worden opgeroepen om alert te blijven en zich voor te breiden op veerkracht van de cybersecurityspecialisten binnen hun organisatie op langere termijn.

9. Juni 2022

   1. 30 juni

      Via een desinformatiecampagne wordt een gerucht verspreidt dat Oekraïense mannelijke vluchtelingen in Polen zouden worden geïdentificeerd en teruggestuurd naar Oekraïne voor militaire dienst. Beveiligingsonderzoekers van Mandiant schrijven dit toe aan de, aan Wit-Rusland gelieerde actor GhostWriter.

      Volgens de Oekraïense overheidsinstantie SSSCIP is de intensiteit van cyberaanvallen op Oekraïne niet afgenomen. Sinds het begin van de oorlog, 24 februari 2022, hebben er bijna 800 cyberaanvallen plaatsgevonden.
      
       

   2. 24 juni

      CERT-UA waarschuwt voor digitale aanvallen op telecombedrijven in Oekraïne. Er wordt gebruik gemaakt van e-mails met een malafide bijlage. De e-mails bevatten als bijlage een met wachtwoord bescherm RAR-bestand met hierin een Excel-bestand met macro. Interactie met het bestand resulteert in het uitvoeren van een PowerShell commando, waarmee een EXE-bestand wordt gedownload en uitgevoerd. Hierdoor raakt het systeem besmet met de DarkCrystal malware.

   3. 22 juni

      Nadat Litouwen een verbod heeft ingesteld op alle doorvoer per spoor van Russische goederen (m.u.v. levensmiddelen en personen) naar Kaliningrad, roepen verschillende activistische groeperingen, o.a. via Telegram, op om de vitale infrastructuur van Litouwen digitaal aan te vallen.

      Cert-UA waarschuwt voor digitale aanvallen tegen Russische wetenschappelijke instanties, technische organisaties en overheidsinstanties door, aan China gelieerde, actoren. De aanvallers maken gebruik van phishing-emails met een malafide bijlage. Gebruikersinteractie met de bijlage resulteert uiteindelijk in de Bisonal malware.

      Microsoft publiceert het rapport “Defending Ukraine: Early Lessons from the Cyber War”. Het rapport bevat vijf algehele conclusies na de eerste vier maanden van het conflict tussen Rusland en Oekraïne.

   4. 20 juni

      Cert-UA waarschuwt voor twee type aanvallen. Bij de ene wordt malafide bestand xxx.doc meegestuurd bij de ander een xxx.rtf. Beide aanvallen zorgen voor een download van een HTML-bestand en misbruiken de kwetsbaarheid CVE-2022-30190. Bij het doc bestand wordt Cobalt Strike malware uitgevoerd en bij het rtf bestand wordt de CredoMap malware ingezet.

      Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190.

   5. 17 juni

      De actor Killnet roept via Telegram verschillende ransomware actoren als Conti en Revil op om gezamenlijk organisaties in de Verenigde Staten, Italië en Polen digitaal aan te vallen.

      Volgens een woordvoerder van het Kremlin heeft een distributed denial-of-service (DDoS) aanval er op vrijdag voor gezorgd dat de speech van president Poetin op het International Economic Forum in St. Petersburg met een uur is uitgesteld.

   6. 14 juni

      De Wit-Russische hacktivistische actor Belarusian Cyber Partisans claimt toegang te hebben tot getapte gesprekken van onder andere de Russische ambassade in Wit-Rusland. Het zou gaan om opnames tussen 2020 en 2021.

   7. 10 juni

      Hackerscollectief Anonymous beweert een Russische drone fabrikant te hebben gehackt. Hierbij heeft de actor afbeeldingen gepubliceerd van een deel van de bemachtigde informatie.

   8. 7 juni

      De website van het Russische ministerie van Bouw, Huisvesting en Voorzieningen verwees na een digitale aanval naar een pro Oekrainse bericht: “Glory to Ukraine”. De hackers eisten ook losgeld om het lekken van persoonlijke gegevens van de websitegebruikers te voorkomen.

      Volgens RIA, een Russisch staatsnieuwsmedium, bevestigde een vertegenwoordiger van het ministerie dat de site offline was, maar dat gebruikersgegevens niet werden gecompromitteerd.

   9. 5 juni

      De uitzending van de kwalificatiewedstrijd voor het WK voetbal op 5 juni tussen Wales en Oekraïne, werd in Oekraïne onderbroken door een digitale aanval die gericht was op OLL.TV. Volgens SSSCIP hebben kwaadwillende toegang verkregen tot een Content Delivery Network (CDN) en vervolgens het verkeer weten om te leiden. Als gevolg hiervan toonde verschillende Oekraïense tv-zenders Russische propaganda. OLL.tv heeft de aanval bevestigd op Facebook.

   10. 2 juni

       CERT-UA waarschuwt voor digitale aanvallen op verschillende Oekrainse overheidsinstanties, waarbij gebruik wordt gemaakt van e-mails met een malafide bijlage. De e-mails bevatten een document, die een link bevat naar een extern HTML-bestand met JavaScript code. De uitvoering van dit HTML-bestand resulteert in de misbruik van de kwetsbaarheden CVE-2021-40444 en CVE-2022-30190, waardoor een PowerShell commando wordt uitgevoerd. Het PowerShell commando download en voert een EXE-bestand uit, waardoor het systeem besmet raakt met het kwaadaardige programma Cobalt Strike Beacon. Het NCSC heeft recent in een beveiligingsadvies gewaarschuwd voor de kwetsbaarheid met het kenmerk CVE-2022-30190

   11. 1 juni

       In een interview met Sky News bevestigd de Amerikaanse Generaal Paul Nakasone dat de Verenigde Staten offensieve digitale aanvallen heeft uitgevoerd ter ondersteuning aan Oekraine.

10. Mei 2022

    1. 29 mei

       Anonymous beweert Wit-Russische overheidswebsites te hebben aangevallen als vergelding voor de mogelijke Wit-Russische steun aan de Russische invasie.

    2. 23 mei

       Onderzoekers van beveiligingbedrijf Sekoia hebben digitale verkenningsactiviteiten waargenomen van de Russische actor TURLA. De bevindingen komen voort uit eerdere bevindingen van Google’s Threat Analysis Group (TAG), zie ook het bericht van 3 mei 2022 op deze tijdlijn. De activiteiten waren gericht op de Baltic Defence College, de Austrian Economic Chamber en NATO's eLearning platform genaamd JADL. De Austrian Economic Chamber is in Oosterijk betrokken bij de uitvoering van sancties tegen Rusland.

    3. 20 mei

       Pro Russische hackers hebben digitale aanvallen uitgevoerd op diverse Italiaanse overheidsinstituties. Op vrijdag 20 mei tweet de Italiaanse ambassade in London dat de website van het Italiaanse ministerie van Buitenlandse Zaken en haar ambassades beperkt bereikbaar zijn door digitale aanvallen.

    4. 16 mei

       De Italiaanse autoriteiten hebben DDoS-aanvallen van de actor Killnet beperkt. Deze aanvallen vonden plaats tijdens de live-optredens en de stemmingsronden van het Eurovisie Songfestival. In reactie op de mislukte poging heeft de actor aangegeven digitale aanvallen te gaan uitvoeren op websites van organisaties in: Verenigde Staten, Verenigd Koninkrijk, Duitsland, Letland, Roemenië, Estland, Polen, Oekraïne, Litouwen en Italië.

    5. 12 mei

       De actor KillNet heeft op 12 mei DDoS-aanvallen uitgevoerd op diverse websites van Italiaanse overheidsinstanties en bedrijven.

       Op dezelfde dag waarschuwt het CERT-UA voor emails met als onderwerp “Щодо проведення акції помсти у Херсоні!” (“Met betrekking tot de wraakactie Cherson!”). Deze e-mails bevatten een HTM-bestand. Bij interactie met het bestand wordt uiteindelijk de malware "gammaload.ps1_v2” gedownload. CERT-UA schrijft deze aanval toe aan de Russische actor UAC-0010 (Gamaredon).

    6. 10 mei

       Afgelopen dinsdag, 10 mei, hebben de Europese Unie en internationale partners afkeurend gereageerd op de digitale aanval op het satellietnetwerk Ka-Sat. Deze aaval wordt toegeschreven aan de Russische Federatie. De digitale aanval vond kort voor de Russische invasie op 24 februari 2022 plaats en heeft aanzienlijke gevolgen gehad bij verschillende overheids¬instanties, bedrijven en burgers in Oekraïne. De digitale aanval zorgde ook voor spill-over-effecten bij verschillende lidstaten van de Europese Unie. 

    7. 09 mei

       Verschillende media melden dat door een digitale aanval Russische satelliettelevisiemenu’s  vlak voor de Victory day parade in Moscow verschillende anti-oorlogsleuzen vertoonden.

    8. 07 mei

       CERT-UA waarschuwt voor e-mails met als onderwerp “хімічної атаки” (chemische aanval). De e-mails bevatten een link naar een .XLS-document met een macro. Wanneer de macro wordt geactiveerd, download en voert het een malware uit. Hierdoor raakt de computer besmet met het kwaadaardige programma JesterStealer. Het kwaadaardige programma steelt (gevoelige) informatie van de besmette computer en verstuurt het vervolgens naar de aanvaller. 

    9. 03 mei

       Google publiceert in een blogpost dat zij door verschillende actoren digitale activiteiten heeft waargenomen in relatie tot de oorlog in Oekraïne:

       •  De vanuit Rusland opererende actor APT28 (ook bekend als Fancy Bear) richt zich met een nieuwe malware variant op gebruikers in Oekraïne. De malware wordt per email verspreid via met een wachtwoord beveiligde zip bestand.
       • De organisatie heeft wederom activiteit vanuit de uit Rusland opererende actor Coldriver waargenomen (zie update 31 maart in deze tijdlijn). Volgens Google zou deze actor phishing pogingen hebben gedaan op onder meer een overheidsmedewerkers, politici, NGO's en journalisten.
       • De vanuit China opererende actor Curious Gorge heeft lang lopende campagnes voortgezet tegenover meerdere overheids-, productie-, defensie-, en logistieke-organisaties in Rusland en Oekraïne.  
       • Google heeft digitale aanvallen waargenomen door de aan Rusland gelieerde actor Turla. De actor richtte zich op de Baltische staten en probeerde defensieorganisaties en cybersecuritybedrijven te compromitteren.
       • En tot slot meldt Google dat door de actor Ghostwriter (Belarus) nog altijd actief phishing aanvallen worden uitgevoerd richting Oekraïense burgers.

    10. 01 mei

        Het Britse ministerie van Buitenlandse Zaken zegt, op basis van extern onderzoek, te weten dat Rusland desinformatie over de oorlog in Oekraïne verspreid via een 'trollenfabriek'. Volgens het ministerie zijn accounts van verschillende politici en specifieke mensen, uit het VK, India en Zuid-Afrika, benaderd.
        Het onderzoek laat volgens de Britse experts zien hoe de grootschalige desinformatiecampagne van het Kremlin is ontworpen om de internationale publiek over de oorlog in Oekraïne te manipuleren.

11. April 2022

    1. 28 april

       28 april Cert-UA heeft in samenwerking met CSIRT-NBU, distributed denial-of-service (DDoS) aanvallen op diverse Oekraïense (overheids)organisaties waargenomen. Hierbij zijn gecompromitteerde websites ingezet. De websites zijn gecompromitteerd door het plaatsen van malafide Javascript code (BrownFlood) in de structuur van de website. Als gevolg hiervan genereren websitebezoekers grootte hoeveelheden requests naar specifieke doelwitten, in dit geval diverse Oekraïense (overheids)organisaties.

    2. 27 april

       Microsoft heeft een rapport uitgebracht met details over Russische digitale aanvallen die zijn waargenomen tijdens de oorlog tussen Rusland en Oekraïne. Sinds de Russische invasie heeft Microsoft meer dan 200 digitale aanvallen tegen Oekraïense organisaties en burgers waargenomen. Een aantal van deze digitale aanvallen lijken afgestemd te zijn op kinetische militaire operaties, aldus Microsoft. Het rapport bevat een gedetailleerde tijdlijn van de Russische digitale aanvallen en is uitgebracht om organisaties waaronder vitale aanbieders en Rijksoverheid te helpen de weerbaarheid te verhogen.

    3. 22 april

       De nationale postdienst van Oekraïne, Ukrposhta, is na het introduceren van een nieuwe postzegel, getroffen door een DDoS-aanval. Op de postzegel is een Oekraïense soldaat afgebeeld, die een offensief gebaar maakt naar het nu gezonken Russische oorlogsschip Moskva.

    4. 21 april

       De Verenigde Staten, Australië, Nieuw-Zeeland, Canada en het Verenigd Koninkrijk plaatsen op de website van CISA een gezamenlijke waarschuwing voor cyber activiteit gericht op de kritieke infrastructuur vanuit Russische statelijke en criminele actoren. Deze activiteiten kunnen plaatsvinden als reactie op de opgelegde sancties, evenals materiële steun die wordt verleend door de westerse bondgenoten en partners.

    5. 20 april

       De aan Rusland gelieerde actor Shuckworm (ook bekend als Gamaredon en Armageddon) blijft zich voortdurend richten op organisaties in Oekraïne. Het maakt hierbij gebruik van verschillende versies van de malware Backdoor.Pterodo. De frequentie van de aanvallen zorgt dat het een van de belangrijkste cyberbedreigingen blijft waarmee organisaties in de regio worden geconfronteerd.

    6. 19 april

       CERT-UA waarschuwt voor phishing mails uit hun naam met als onderwerp "Srochno!” (Dringend!). De e-mails zijn gericht op Oekraïense organisaties en bevatten een .XLS bijlage met daarin een macro. Wanneer de macro wordt geactiveerd, download en voert het een bestand uit en raakt vervolgens de computer besmet met Cobalt Strike Beacon malware.

    7. 17 april

       De activistische Hackgroep KillNet heeft DDoS-aanvallen uitgevoerd op verschillende websites van luchthavens, transport en overheidsorganisaties in Europa. Dit heeft voor sommige organisaties geresulteerd in het tijdelijk niet meer bereikbaar zijn van de website.

    8. 12 april

       Beveiligingsbedrijf ESET en de Oekraïense CERT CERT-UA hebben bij een aanval op een Oekraïens energiebedrijf nieuwe malware, Industroyer2, ontdekt die zich richt op ICS-systemen. Bij de aanval is ook andere malware gebruikt, waaronder verschillende wipers. Zie voor meer details over deze malware de websites van ESET en CERT-UA. De aanval is volgens ESET en CERT-UA succesvol afgeslagen.

    9. 8 april

       Op 8 april zorgde een denial-of-service aanval ervoor dat de websites van de Finse ministeries van Defensie en Buitenlandse Zaken tijdelijk onbereikbaar waren. De aanval begon rond het middaguur, terwijl de Oekraïense president Zelensky het Finse parlement toesprak. 

    10. 7 april

        Microsoft laat weten dat het digitale aanvallen op Oekraïne heeft weten te voorkomen. Het gaat om een aanval van Strontium, een Russische statelijke actor die gerelateerd wordt aan de inlichtingendienst GRU. Strontium probeerde Oekraïense overheidsorganisaties en mediabedrijven te compromitteren en richtte zich daarnaast op overheidsorganisaties en denktanks in de EU en VS die betrokken zijn bij internationale betrekkingen. In de aanval maakte Strontium gebruik van 7 malafide internetdomeinen om toegang te verkrijgen tot de slachtoffers.

    11. 4 april

        CERT-UA bericht dat er verschillende malafide bestanden zijn aangetroffen die gebruikt kunnen worden bij een spearphishing-aanval. Deze bestanden hadden Engelstalige namen en waren gericht op een overheidsorganisatie in Letland. CERT-UA schrijft deze aanval toe aan UAC-0010 (Armageddon).

        Op dezelfde dag bericht CERT-UA ook dat Oekraïense overheidsorganisaties doelwit van Armageddon zijn geweest. Ook hier ging het om een spearphishing-aanval. Doelwitten ontvingen malafide bestanden met persoonsgegevens van vermeende oorlogsmisdadigers.

12. Maart 2022

    1. 31 maart

       Google publiceert een blog over de vanuit Rusland opererende actor Coldriver. Deze actor zou phishing pogingen hebben gedaan op onder meer een afdeling van de NAVO. Google heeft geen aanwijzingen dat deze pogingen succesvol zijn geweest. Deze groep is al sinds 2015 actief en heeft in het verleden verschillende doelen aangevallen zoals ministeries, ngo's en journalisten.

    2. 29 maart

       Een grote DDoS aanval op de Oekraïense internetserviceprovider Ukrtelecom zorgt ervoor dat diensten voor klanten van deze provider tijdelijk onbereikbaar zijn.

    3. 28 maart

       Een Russische internetprovider doet een kortstondige BGP hijack van de Twitter adresruimte. De BGP-aankondiging heeft uiteindelijk weinig effect omdat Twitter de BGP aankondigingen beschermt met RPKI.

    4. 24 maart

       Drie Russische spionnen hebben zich vijf jaar lang gericht op energie-infrastructuur in 135 landen in een poging de Russische regering in staat te stellen elektriciteitscentrales op afstand te besturen, dat beweert het Amerikaanse Ministerie van Justitie in een aanklacht die op 24 maart bekend werd gemaakt.

       Hackergroepring Anonymous roept op Twitter bedrijven op zich terug te trekken uit Rusland. De groep geeft bedrijven 48 uur de tijd om zich terug te trekken, anders zullen zij Anonymous doelwit worden. Eerder heeft Anonymous gegevens van Russische bedrijven gepubliceerd.

    5. 23 maart

       Cert-UA maakt melding van een nieuwe wiper malware genaamd Double Zero. Deze malware wordt verspreid via .zip-bestanden.

    6. 22 maart

       De Amerikaanse president Joe Biden waarschuwt bedrijven in zijn land voor potentiele Russische cyberaanvallen, onder andere als reactie op de westerse sancties tegen Rusland.

    7. 21 maart

       Cert-UA waarschuwt voor aanvallen door hacker groepering InvisiMole. Deze groepering wordt gelinkt aan de Russische APT Gamaredon.  

    8. 20 maart

       Hackersgroep Anonymous waarschuwt Westerse bedrijven de banden met Rusland te verbreken en dreigt met gerichte acties.

    9. 18 maart

       Security Affairs bericht over een destructieve Node-IRP package (malware-aanval) gericht op organisaties in Rusland en Belarus.

    10. 15 maart

        Het Computer Emergency Response Team van Oekraïne (CERT-UA)  maakt melding van een phishing campagne waarbij uit naam van de Oekraïense overheid massaal mails worden verstuurd. Voor de aanvallen wordt gebruik gemaakt van Cobalt Strike, Grimplant en GraphSteel.

        Daarnaast heeft ESET in Oekraïne een nieuwe wiper malware met de naam Caddywiper ontdekt. Wiper malware doet zich voor als ransomware, alleen kunnen beschadigde systemen of bestanden niet hersteld worden. 

    11. 11 maart

        Anonymous heeft 20 terabyte aan data gelekt na een digitale aanval op de Duitse vestiging van het Russische Rosneft. De Duitse inlichtingendienst BSI heeft als reactie hierop vitale sectoren gewaarschuwd. 

    12. 8 maart

        Der Spiegel meldt dat de Duitse  BSI, onderdeel van het Duitse ministerie van Binnenlandse Zaken, waarschuwt voor een digitale aanval. Het zou hier gaan om een aanval op de kritieke infrastructuur als gevolg van de hulp die Duitsland aan Oekraïne biedt sinds het begin van de oorlog.

    13. 3 maart

        De Oekraïense SSU meldt dat websites van lokale overheden zijn gehackt om berichten van overgave te plaatsen. De SSU laat op Twitter weten dat het gaat om desinformatie en roept burgers op deze informatie niet voor waar aan te nemen. Ook de Oekraïense ambassade in het Verenigd Koninkrijk laat weten last te hebben van digitale aanvallen en daardoor slecht bereikbaar te zijn.

    14. 2 maart

        De Oekraïense overheid roept techbedrijven op om zakelijke relaties met Rusland te verbreken. Verschillende techbedrijven stoppen (deels) met hun dienstverlening aan Rusland. Daarnaast meldt cybersecurity bedrijf Proofpoint spearphishingaanvallen op Europese overheidsinstanties door verschillende statelijke actoren. Het doel lijkt dat deze actoren meer inzicht proberen te krijgen in de opvang en migratie van Oekraïners.

    15. 1 maart

        Onderzoekers van Wordfence hacks melden  op websites van diverse Oekraïense universiteiten tijdens de start van de invasie. Wordfence schrijft de aanvallen toe aan de actor theMx0nda. Deze groep heeft openlijk verklaard Rusland te steunen in haar oorlog tegen Oekraïne.

13. Februari 2022

    1. 28 februari

       De Belarusian Cyber-Partisans claimen wederom een digitale aanval op de spoorwegen in Belarus te hebben uitgevoerd om Russische troepenverplaatsingen te dwarsbomen. Een actueel overzicht van cybergroeperingen die zich in het conflict hebben gemengd, inclusief statelijke actoren als Sandworm, is hier te vinden.

       De laatste ontwikkelingen in ogenschouw genomen heeft het NCSC een handelingsperspectief en dreigingspecifieke maatregelen gepubliceerd. Op dit moment worden er geen actieve digitale aanvallen op Nederland of Nederlandse belangen waargenomen.

    2. 26 februari

       De Oekraïense minister van Digitale Transformatie roept hackers wereldwijd op om zich aan te melden voor een “Oekraïens IT leger”. 

    3. 25 februari

       Ransomware-groepering Conti laat in een verklaring weten zich achter Rusland te scharen. Om Rusland te ondersteunen dreigt Conti met aanvallen op kritieke infrastructuur van landen die zich tegen Rusland keren. Ransomware-concurrent LockBit daarentegen meldt zich in deze oorlog afzijdig te houden en uitsluitend gemotiveerd te zijn door financiële doeleinden.

    4. 24 februari

       Na de invasie van Russische troepen in Oekraïne hebben diverse niet-statelijke actoren zich in het conflict gemengd. Diezelfde avond verklaart hackers-collectief Anonymous de oorlog aan Rusland. Vervolgens claimen vrijwilligers aangesloten bij dit collectief diverse Russische overheids- en mediawebsites middels DDoS-aanvallen offline te hebben gehaald. Ook claimt deze groep vrijwilligers gevoelige data van het Russische ministerie van defensie in handen te hebben. Deze claims kunnen niet altijd worden geverifieerd, wat onduidelijkheid en verwarring kan veroorzaken. 

    5. 23 februari

       Er worden hevige DDoS-aanvallen uitgevoerd die gericht zijn op doelwitten in Oekraïne. Diverse overheidswebsites zijn tijdelijk verminderd of geheel onbereikbaar. Het gaat daarbij onder andere om de websites van diverse ministeries. Gelijktijdig worden er meerdere phishingcampagnes waargenomen. 

       Daarnaast maken gedurende de avond van 23 februari diverse partijen melding van een nieuwe wiper malware die zij hebben aangetroffen op systemen in Oekraïne. Onder andere ESET, Symantec en SentinelOne hebben analyses gepubliceerd. Deze malware is HermeticWiper genoemd. Er zijn functionele overeenkomsten met de eerder waargenomen WhisperGate wiper campagne van 13 en 14 januari. De nieuwe wiper heeft ook als doel om bestanden te corrumperen en te voorkomen dat computersystemen kunnen opstarten. Deze nieuwe malware lijkt wel grondiger te werk te gaan dan de wiper malware gebruikt in de vorige campagne. Er zijn vooralsnog geen indicaties dat deze nieuwe wiper enige functionaliteit bevat die zouden kunnen leiden tot een worm waardoor via het netwerk gekoppelde systemen geïnfecteerd zouden kunnen worden.

    6. 21 februari

       De Oekraïense CERT-UA publiceert een website bericht over malafide activiteiten die zij relateren aan de actor Buhtrap. De malware campagnes zouden bedoeld zijn om een positie te verwerven in het computernetwerk van het slachtoffer.

    7. 15 februari

       Er vinden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het gaat onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van onlinediensten of de ondersteunende servers en netwerkapparatuur te raken. Het ministerie van Defensie en twee nationale banken in Oekraïne worden geraakt. Op 15 februari vindt ook een sms-campagne plaats, met de boodschap dat geldautomaten een technische storingen hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie is. Er is geen sprake van dergelijke storingen. Het NCSC heeft op dit moment geen concrete aanwijzingen dat gerichte aanvallen op Nederlandse organisaties plaatsvinden gerelateerd aan de huidige situatie rondom Oekraïne.

14. Januari 2022

    1. 26 januari

       CERT Ukraine (CERT UA) publiceert een deel van het onderzoek naar zowel de defacements als de aanval met de malware. In dit onderzoek worden grote overeenkomsten geconstateerd tussen de Whispergate-malware en WhiteBlackCrypt ransomware. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de cyberaanvallen zit.

       Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne meerdere waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende cybersecurity bedrijven onderzoek gepubliceerd naar aanleiding van de cyberaanvallen in Oekraïne. Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van Gamaredon, ook bekend als ACTINIUM. De activiteiten van Gamaredon kunnen vooralsnog niet gerelateerd worden aan de cyberaanvallen van 14 januari. Gamaredon is een bekende actor die zich tot op heden heeft gericht op doelwitten in Oekraïne.

    2. 15 januari

       Microsoft publiceert een blog over de Whispergate-malware (ook wel WhisperKill genoemd) die is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wiperware die zich voordoet als ransomware, echter ontbreekt iedere mogelijkheid om beschadigde systemen of bestanden te herstellen waardoor effectief bestanden worden gewist of het besturingssysteem onklaar wordt gemaakt. In tegenstelling tot de NotPetya-wiper, die in 2017 wereldwijde impact had, bezit de Whispergate-malware niet de mogelijkheid om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor vormt de waargenomen Wispergate-malware een aanzienlijk lager risico voor Nederland.

    3. 14 januari

       De Oekraïense veiligheidsdienst SSU geeft een statement af over een aanval op websites van diverse overheidspartijen. Hierbij worden berichten geplaatst op de websites waarin in dreigende taal in het Pools, Oekraïens en Russisch wordt aangegeven dat persoonlijke gegevens van Oekraïense burgers zijn gestolen en dat burgers zich moeten “voorbereiden op het ergste”. Een dergelijke aanval waarbij een website wordt beklad wordt ook wel ‘defacement’ genoemd. In een volgend statement van de SSU wordt duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een supply chain-aanval op de leverancier die de websites onderhoudt, mogelijk in combinatie met een kwetsbaarheid in OctoberCMS (CVE-2021-32648) en Log4j. Deze leverancier beschikt over verhoogde rechten binnen de omgeving waardoor de websites kunnen worden aangepast.