RUSSLAND

Russisk storbank utsatt for digert DDoS-angrep

Melder om kraftig økning i cyberangrepene mot russiske selskaper de siste månedene.

Romfartsinspirert minibank i russiske «Star City» (Zvyozdny Gorodok) i Moskovskaja oblast.
Romfartsinspirert minibank i russiske «Star City» (Zvyozdny Gorodok) i Moskovskaja oblast. Foto: Wikimedia/Sergey Sebelev (CC BY-SA 4.0)
Harald BrombachHarald BrombachNyhetsleder
20. mai 2022 - 16:30

Direktøren for cybersikkerhet i den russiske banken Sberbank, Sergej Lebed, holdt denne uken et foredrag om cyberangrep mot russiske interesser. Det skjedde under konferansen Positive Hack Days, som ble arrangert i Moskva. 

Der innrømmet Lebed at Sberbank 6. mai i år ble utsatt for det hittil største distribuerte tjenestenektangrepet (DDoS) i bankens historie. Mer enn 450 gigabyte med data pr. sekund skal ha blitt sendt til bankens webservere. Sberbank greide ifølge Lebed å stå imot angrepet. Det oppgis at botnettet som ble brukt i angrepet, består av mer enn 27.000 enheter i land som Taiwan, USA, Japan og Storbritannia.

Eksplosiv vekst

Ifølge Sberbank skal økningen i cyberangrep mot russiske virksomheter ha hatt en eksplosiv vekst de siste tre månedene. Blant annet skal DDoS-angrepene ha blitt kraftigere. Trolig er mye av dette reaksjoner på Russlands invasjon av Ukraina. 

– Mens det før 24. februar ble registrert ett DDoS-angrep i uka, registrerte vi allerede i mars opptil 46 samtidige DDoS-angrep mot ulike Sberbank-ressurser. Angrepene benyttet et bredt spekter av verktøy, inkludert ondsinnet kode integrert i nettleserne til brukere som besøkte kinonettsteder. I dag står banken overfor angrep døgnet rundt, sa Lebed.

Han fortalte videre at bankens operasjonssenter analyserer og svarer på cyberangrep 24/7. 

– Men når det gjelder selskaper i andre sektorer, har de fleste av dem aldri stått overfor noe tilsvarende og kan virkelig ta skade av det. 

Lekkede data

Sberbank regner med at mengden angrep vil gå ned i tiden framover, men være kraftigere og mer fokuserte. Det nevnes også at tilgjengeligheten av et stort antall databaser vil gjøre nye typer svindel mulig. 

Hvilke databaser det da er snakk om, er uklart. Men blant annet Anonymous-tilknyttede grupper har de siste månedene hentet ut enorme mengder med data fra russiske virksomheter. Det er ikke usannsynlig at noe av dette vil kunne utnyttes i cyberangrep. 

Illustrasjonsbilde fra NorCERT sitt tidligere operasjonssenter i Oslo, som i dag er en del av Nasjonalt cybersikkerhetssenter, som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.
Les også

Undersøkelse: Én av tre kommuner har blitt utsatt for dataangrep

Kinesisk spionasje

Ifølge cybersikkerhetsselskapet Check Point er det ikke bare vestlig orienterte aktører som angriper russiske interesser. Det samme gjør kinesiske trusselgrupper. 

I løpet av de to siste månedene har Check Point observert flere APT-grupper (Advanced Persistent Threat) som forsøker å utnytte krigen mellom Russland og Ukraina som et lokkemiddel for cyberspionasje. Blant annet anses russiske virksomheter som attraktive mål for «spear phishing»-kampanjer som utnytter de vestlige sanksjonene mot Russland. 

Check Point skriver spesielt om slike angrep som har vært rettet mot to russiske forsvarsinstitutter, som begge er en del av det statseide forsvarskonglomeratet Rostec. Også et hviterussisk forsvarsinstitutt har trolig blitt berørt.

Kampanjen, som Check Point oppgir med stor sikkerhet at er kinesisk, skal ha pågått i alle fall siden juni i fjor. Det er uklart om den fortsatt er aktiv, siden den siste observerte aktiviteten skjedde i april i år. 

Helt nye angrepsverktøy

Check Point mener det er trusselgruppene Stone Panda/APT 10 og Mustang Panda som står bak angrepene. Selve kampanjen kaller Check Point for Twisted Panda. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

De kinesiske hackerne skal i forbindelse med Twisted Panda ha tatt i bruk flere verktøy som ikke har blitt beskrevet tidligere. Dette inkluderer en såkalt loader med flere lag og en bakdør som er gitt navnet SPINNER. Begge benytter avanserte teknikker som bidrar til å holde dem skjult for sikkerhetsløsninger. 

Blogginnlegget til Check Point inneholder mange detaljer om hvordan skadevareverktøyene fungerer.

Løsepengevirus-gruppens nettside viser nå kun salgsmeldingen. Digi har sensurert gruppens navn.
Les også

Hackergruppe til salgs – kjent for angrep mot store mål

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.