Russisch hacktivisme eist zijn tol van organisaties in Oekraïne, de EU en de VS

Hoewel het soms lijkt alsof ze alleen maar blaffen en niet bijten, zeggen experts dat Russische hacktivistische groepen in feite een serieuze impact hebben op organisaties in Oekraïne en NAVO-landen.

Het pro-Russische hacktivisme is geëxplodeerd sinds het begin van de oorlog in Oekraïne. Onder leiding van het inmiddels beruchte KillNet hebben nationalistische hackers aanvallen georkestreerd tegen elke regering of onderneming die zich verzet tegen de invasie van Poetin.

Velen van hen zijn lege PR-stunts - bijvoorbeeld, KillNet heeft de officiële website van de Britse koninklijke familie verwijderd op zondag – teruggrijpend op de dagen van Anonymous. Maar experts waarschuwen dat deze groepen niet alleen daadwerkelijke schade aanrichten, maar ook grotere en ergere dingen plannen.

“Sommige zijn hinderlijke aanvallen op openbare websites die gewoon een statement maken”, zegt Michael McPherson, een 24-jarige FBI-veteraan en nu senior vice-president van technische operaties bij ReliaQuest. “Maar je ziet dat ze zich ook richten op kritieke infrastructuur zoals ziekenhuissystemen, die veel belangrijker en veel impactvoller zijn.”

Het landschap van Russische hacktivistische groepen

De gedistribueerde denial-of-service (DDoS)-aanval heeft een duidelijke rol gespeeld in het conflict tussen Rusland en Oekraïne de afgelopen tien jaar, onder meer in de jongste invasie. “DDoS heeft het allemaal in gang gezet, toch?” wijst Richard Hummel, senior dreigingsintelligentieleider bij Netscout, aan. “Dat is het eerste dat de media, de overheid en financiële organisaties in Oekraïne trof voordat Rusland binnenviel.”

Naarmate de oorlog voortduurde, leek het erop dat het geld van bekende door de staat gesponsorde groepen naar hacktivistische groeperingen verschoof. McPherson waarschuwt echter: “de lijnen vervagen, en attributie is een veel grotere uitdaging dan in het verleden.”

Wie ze ook zijn of waarmee ze verbonden zijn, deze groepen zullen zich richten op alle organisaties of individuen die zich uitspreken tegen de oorlog. ‘President Biden spreekt bijvoorbeeld op de G7-top – de grootste piek in DDoS-aanvallen die dag is gericht tegen de Amerikaanse regering’, legt Hummel uit.

Sindsdien heeft er een merkbare evolutie plaatsgevonden in de organisatie, capaciteiten en methoden van de groepen die dergelijke aanvallen uitvoeren.

“KillNet komt uit en ze zijn legioensterk”, zegt Hummel. “En dan beginnen ze uiteen te vallen en uiteen te vallen in verschillende subcomponenten, dus je hebt meerdere facties van KillNet die verschillende agenda's en verschillende facetten van de regering ondersteunen. Dan heb je DDoSia, jij hebt Anoniem Soedan, waarvan we er vast van overtuigd zijn dat het deel uitmaakt van KillNet, en je hebt NoName. Je hebt dus al dit soort splintercellen.'

Het is een deel van de reden voor de recente explosie van DDoS-activiteit over de hele wereld. Alleen al in de eerste helft van 1 noteerde Netscout bijna 7.9 miljoen DDoS-aanvallen – ongeveer 44,000 per dag, een groei van 31% op jaarbasis.

De evoluerende tactieken van Russische hacktivisten

DDoS-gerichte groepen zijn tegenwoordig niet alleen actiever dan ooit, zegt Pascal Geenens, directeur Threat Intelligence bij Radware, ze zijn ook geavanceerder.

“Toen de oorlog in februari 2022 begon en deze nieuwe dreigingsactoren op het toneel verschenen, waren ze onervaren. Ze waren niet goed georganiseerd. En nu, na ruim anderhalf jaar bouwervaring, hebben deze mensen de afgelopen achttien maanden elke dag niets anders gedaan. Je kunt je voorstellen dat ze beter zijn geworden in wat ze doen”, zegt hij.

Geenens citeert NoName, een groep die Radware uitgebreid behandelt in zijn artikel H1 2023 Wereldwijd dreigingsanalyserapport, als goed voorbeeld van een volwassen hacktivistische dreiging. Waar typische DDoS-aanvallen eenvoudigweg het overbelasten van een doelsite met afvalverkeer inhouden, heeft NoName een andere aanpak gekozen.

Ongeveer een jaar geleden, legt hij uit, begon de groep tools te gebruiken voor het analyseren van webverkeer naar gerichte websites, “iets dat zich in het midden van uw browser en de website bevindt en alle variabelen registreert en alle informatie die daartussen wordt doorgegeven. Dus wat ze doen is: ze vinden de pagina's die het meest impactvol zijn voor de backend van die website, bijvoorbeeld een feedbackformulier dat iemand kan invullen, of een pagina waarop je een zoekvak hebt. En ze zullen legitieme verzoeken indienen via die formulieren.”

Door deze meer gerichte aanpak kan de groep meer doen met minder. “Anoniem Soedan doet 2-3 miljoen verzoeken per seconde. Dat is niet wat je gaat zien van NoName. NoName komt misschien met 100,000 tot 150,000 verzoeken per seconde op je af, maar ze zijn zo beperkt tot de zaken die van invloed zijn op de backend-infrastructuur, dat ze veel sites plat leggen”, zegt Geenens.

Of het nu de meer geavanceerde tactieken van NoName zijn of de enorme hoeveelheid verkeer van Anonymous Sudan, hacktivistische groepen bewijzen dat ze grote en belangrijke organisaties op soms zinvolle manieren kunnen beïnvloeden.

De ambities van hacktivisten worden groter

“In het begin van de oorlog waren er veel overheids-, ziekenhuis- en reiswebsites, maar er was geen echte impact op het bedrijf zelf; het was gewoon een website die offline was. Nu zie ik dat ze zich richten op ticketservices voor het openbaar vervoer, betaalapplicaties en zelfs API's van derden die door veel andere applicaties worden gebruikt, en zo meer impact veroorzaken”, zegt Geenens. Als slechts een van de vele recente voorbeelden werd vorige maand een NoName-aanval op de Canadese Border Services Agency veroorzaakt aanzienlijke vertragingen bij grenscontroles in het hele land.

Er zijn aanwijzingen dat groepen als NoName en KillNet lege PR-grapjes zullen blijven mixen met betekenisvolle aanvallen, maar ze kunnen nog verder gaan. Geenens wijst erop dat de leider van KillNet, KillMilk, interesse heeft getoond in het integreren van ruitenwissers in de aanvallen van de groep.

“Hij kwam zelfs met een idee”, waarschuwt Geenens, “waarbij hij een paramilitair cyberleger wilde creëren – een beetje gemodelleerd naar de Wagner Group, een fysiek leger, maar hij wil dat voor cyber doen. Dus bouw die invloed op en bouw een cyberleger op dat voor de hoogste bieder zal werken en destructieve cyberaanvallen zal uitvoeren.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/russian-hacktivism-takes-toll-organizations-ukraine-eu-us