Hot i hälarna på attacker mot amerikanska statliga webbplatser, störde den proryska hotgruppen Killnet på måndagen webbplatserna för flera amerikanska flygplatser i en serie av distribuerade denial-of-service-attacker (DDoS).
Den uppmanade också grupper och individer i samma linje att utföra DDoS-attacker mot andra amerikanska infrastrukturmål, i vad som verkar vara en upptrappning av en nyligen genomförd kampanj som protesterar mot den amerikanska regeringens stöd för Ukraina i dess krig med Ryssland.
Flygplatswebbplatser som påverkades av Killnets DDoS-attacker inkluderar Los Angeles International Airport (LAX), Chicago O'Hare, Hartsfield-Jackson Atlanta International Airport och Indianapolis International Airport. Även om DDoS-attackerna gjorde vissa av webbplatserna otillgängliga i flera timmar, verkar de inte ha haft någon inverkan på flygplatsverksamheten.
Forskare från Mandiant som har spårat attackerna sa att de observerade totalt 15 amerikanska flygplatswebbplatser som påverkades.
Mestadels korta avbrott
I ett uttalande till Dark Reading bekräftade flygplatsmyndigheterna vid LAX attacken.
"Tidigt i morse var webbplatsen FlyLAX.com delvis störd", noterade en talesperson för LAX i ett uttalande via e-post. LAX-tjänstemän beskrev tjänsteavbrottet som begränsat till endast delar av den offentliga webbplatsen FlyLAX.com. "Inga interna flygplatssystem äventyrades och det fanns inga driftstörningar", enligt uttalandet, och tillade att flygplatsens IT-team har återställt tjänsterna och att flygplatsen har meddelat FBI och Transportation Security Administration (TSA).
Ivan Righi, senior cyberhotsunderrättelseanalytiker på Digital Shadows, säger att Killnet också har bett sina anhängare att delta i flygplatsattackerna och publicerat en lista över domäner som ska riktas mot sin Telegram-kanal. Totalt nämnde gruppen 49 domäner som tillhör flygplatser över hela USA, säger han. Killnets mållista inkluderar flygplatser i cirka två dussin delstater inklusive Kalifornien, Delaware, Florida, Georgia, Illinois, Maryland, Massachusetts och Michigan.
"I dagsläget är det okänt hur framgångsrika dessa attacker var, men Killnet-attacker är kända för att ta ner webbplatser under korta perioder", säger Righi. Attackerna började med en DDoS-attack på O'Hare, där gruppen angav sin motivation att rikta in sig på USA:s civila nätverkssektor, som gruppen ansåg vara osäkra, säger han.
O'Hare svarade inte omedelbart på en Dark Readings begäran om kommentar. Men från och med lunchtid, Central time, var flygplatsens hemsida tillgänglig.
Efterlyser bredare attacker
Vlad Cuiujuclu, teamledare för global information vid Flashpoint, säger att DDoS-attacken på O'Hare International Airport kom strax efter att Killnet tillkännagav nya omgångar av DDoS-attacker mot domäner som tillhör USA:s civila infrastruktur. Bland målen som den uppmanar anhängare att attackera är marina terminaler och logistikanläggningar, väderövervakningscenter, hälsovårdssystem, biljettsystem för kollektivtrafik, börser och onlinehandelssystem, säger Cuiujuclu.
Killnets inlägg som uppmanar andra pro-ryska grupper att starta DDoS-attacker mot domäner som tillhör USA:s civila infrastruktur delades av andra rysktalande cyberkollektiv, inklusive Anonymous | Ryssland, Phoenix och We Are Clowns, noterade Cuiujuclu.
Killnet har varit bland de mer aktiva pro-ryska cyberhotgrupperna de senaste månaderna. Bara förra veckan tog det kredit för DDoS-attacker på regeringens webbplatser i Mississippi, Kentucky och Colorado. I juli gjorde gruppen anspråk på äran för en DDoS-attack på den amerikanska kongressens webbplats, som kortvarigt påverkade allmänhetens tillgång.
I augusti sa Killnet att de planerar att attackera Lockheed Martin, företaget som tillverkar de USA-tillverkade raketgevär som den ukrainska militären har använt i konflikten. Gruppen hävdade att den hade äventyrat Lockheed Martins infrastruktur för identitetsbehörighet, men Flashpoint, som spårade kampanjen, sa att det var kan inte hitta några verifierbara bevis av den förmodade attacken. "Detta är möjligt, men Killnet har hittills visat få verifierbara bevis för detta utöver en video och ett kalkylblad som påstås innehålla personaldata, vars äkthet inte kunde fastställas," sa Flashpoint då.
En särskilt aktiv hotskådespelare
Nästan sedan början av den ryska invasionen av Ukraina har Killnet kontinuerligt publicerat påstådda bevis på DDoS-attacker mot organisationer i NATO:s medlemsländer och de som det uppfattar som stödjer Ukraina i konflikten. Flashpoint har tidigare beskrivit Killnet som en mediekunnig hotgrupp med en tendens att försöka blåsa upp sin profil genom att skryta om attacker. "Även om Killnets hot ofta är storslagna och ambitiösa, har de påtagliga effekterna av deras senaste DDoS-attacker hittills verkat vara försumbara."
Killnets attacker – och de som det uppmanar andra att utföra – är exempel på vad säkerhetsexperter säger är de senaste årens tendens att geopolitiska konflikter sprider sig till cyberdomänen. Hotgruppens uppenbara eskalering av sin kampanj mot USA och andra NATO-länder, till exempel, kommer bara några dagar efter att en explosion förstörde en del av en kritisk bro som förbinder Ryssland med Krimhalvön.
Hittills har de flesta cyberattackerna från proryska grupper som påverkat amerikanska organisationer inte varit i närheten av störande som attacker från ryska grupper mot ukrainska enheter. Några av dessa attacker – inklusive många som gick tillbaka till Rysslands annektering av Krim – var utformade för att förstöra system och försämra kraft och annan kritisk infrastruktur till stöd för ryska militära mål.
