- SecurityScorecard (SSC) ha identificado tres ataques DDoS separados que se dirigieron a sitios web financieros y gubernamentales de Ucrania antes y durante la invasión rusa de Ucrania. Los detalles de estos ataques DDoS aún no se han identificado públicamente.
- SSC descubrió una botnet de más de 3000 direcciones IP únicas, en varios países y continentes, que eran la fuente de los ataques DDoS que consistían en inundaciones HTTP y amplificación de DNS. SSC ha llamado a esta botnet “Zhadnost” – ruso para “Greed”.
- La mayoría de los bots de Zhadnost son enrutadores, la mayoría de ellos MikroTik, con configuraciones de recursión de DNS mal configuradas y otras vulnerabilidades conocidas.
- Los ataques DDoS parecían haber tenido un impacto temporal mínimo en sus objetivos. Los sitios web gubernamentales y los servicios bancarios se restauraron rápidamente y los saldos de los clientes no se vieron afectados.
Antecedentes
El 10 de noviembre de 2021, surgieron informes sobre un movimiento inusual de tropas rusas cerca de las fronteras de Ucrania. Para el 28 de noviembre, Ucrania informó una acumulación de 92.000 soldados rusos. En enero de 2022, las tropas rusas comenzaron a llegar a Bielorrusia para realizar ejercicios militares. A lo largo de diciembre de 2021 y enero de 2022, se llevaron a cabo una serie de conversaciones diplomáticas entre Rusia, la OTAN y Ucrania durante las cuales Rusia propuso límites a las actividades de la OTAN en Europa del Este, como la prohibición de que Ucrania se una a la OTAN. La OTAN/Ucrania rechazó estas propuestas y advirtió a Rusia de fuertes medidas económicas y de otro tipo en caso de que invadiera Ucrania. Rusia continuó aumentando sus fuerzas a lo largo de la frontera de Ucrania con Rusia y Bielorrusia, y en el Mar Negro. La OTAN y los países occidentales prometieron su apoyo a Ucrania y comenzaron a proporcionar equipo militar letal y no letal,
El 24 de febrero, el presidente ruso Putin anunció que había decidido lanzar una “operación militar especial” en Ucrania. Poco después, se reportaron explosiones en varias ciudades ucranianas y vehículos militares rusos comenzaron a cruzar las fronteras ucranianas en varios frentes.
Este documento técnico analiza específicamente la investigación de SecurityScorecard sobre el uso de ataques DDoS contra la infraestructura ucraniana antes y durante la invasión rusa de Ucrania. Hemos identificado tres ataques DDoS separados que se dirigieron a sitios web financieros y gubernamentales de Ucrania en un probable esfuerzo por desconectarlos, negando y degradando así el acceso a noticias, información y moneda de fuentes financieras y gubernamentales oficiales de Ucrania.
Metodología
Según varias fuentes abiertas e informes de los medios, así como los propios datos de SecurityScorecard, los siguientes sitios web fueron objeto de ataques DDoS en tres ocasiones diferentes:
- Ministerio de Relaciones Exteriores de Ucrania – mfa.gov.ua
- Ministerio de Defensa de Ucrania – mil.gov.ua
- Ministerio del Interior de Ucrania – mvs.gov.ua
- Servicio de Seguridad de Ucrania – ssu.gov.ua
- Gabinete de Ministros de Ucrania – kmu.gov.ua
- Oschadbank – oschadbank.ua
- Privatbank – privatbank.ua
Ataque DDoS del 15 de febrero
El 15 de febrero de 2022, el ministro de transformación digital de Ucrania, Mykhailo Fedorov, anunció que un ciberataque contra los sitios web del ministerio de defensa y el ejército de Ucrania, así como las interfaces de los dos bancos más grandes del país, fue el mayor ataque de este tipo en el la historia del país y “tenía rastros de servicios de inteligencia extranjeros”. Ilya Vityuk, jefe del Departamento de Seguridad Cibernética de la Agencia de Inteligencia de Ucrania, culpó a Rusia por el ataque, citando como evidencia que el ataque probablemente costó “millones de dólares” para ejecutarlo, mucho más allá de las capacidades de piratas informáticos individuales o grupos. Afirmó que Rusia es el único país que está interesado en tales ataques contra Ucrania.
A partir de nuestro análisis, SSC ha identificado más de 200 direcciones IP únicas que estuvieron involucradas en el ataque DDoS del 15 de febrero. El ataque consistió en una inundación de HTTPS en el puerto 443. Este tipo de ataque está diseñado para abrumar un servidor objetivo con solicitudes HTTP . Una vez que el objetivo se ha saturado con solicitudes y no puede responder al tráfico normal, se producirá una denegación de servicio para solicitudes adicionales de usuarios reales. El análisis de las 50 direcciones IP más activas reveló que aproximadamente la mitad de ellas parecen ser enrutadores MikroTik u otros dispositivos que ejecutan SquidProxy.
Nuestros datos también revelaron que la mayoría de las direcciones IP se han asociado previamente con la actividad de los siguientes implantes:
- Xorddós
- Golpe de cobalto
- amadey
- Trickbot
- Qakbot
- Lokibot
- jedobot
- robot azul
- betabot
- Gumblar
- Kasidet
- PonyCargador
- cargador de humo
Desafortunadamente, SSC no puede determinar a partir de los datos disponibles si las solicitudes HTTP maliciosas se enviaron desde el enrutador, los hosts comprometidos detrás de ellos o una combinación de ambos. Esto hace que atribuir este ataque en particular a cualquier actor de amenazas sea extremadamente difícil. Nuestro trabajo aquí continúa.
Afortunadamente, este ataque pareció tener un impacto mínimo en sus objetivos. Según una declaración de Victor Zhora del Centro Ucraniano de Comunicaciones Estratégicas y Seguridad de la Información, los funcionarios de ciberseguridad ucranianos lograron reducir significativamente la cantidad de tráfico dañino a los sitios web. Además, si bien los bancos atacados confirmaron el ataque, indicaron que los usuarios solo no habían podido retirar dinero temporalmente de sus cuentas. Los servicios bancarios se restablecieron rápidamente y los saldos de los clientes no se vieron afectados.
23 y 28 de febrero Ataques DDoS
El 23 de febrero, Mykhailo Fedorov informó nuevamente de otro ataque DDoS contra sitios web ucranianos.
SSC descubrió otro ataque DDoS que tuvo lugar entre el 27 y el 28 de febrero y que en gran medida no se informó en los medios, probablemente porque tales ataques se estaban volviendo comunes en ese momento.
A partir de nuestro análisis, SSC ha identificado más de 3000 direcciones IP únicas que estuvieron involucradas en ataques DDoS el 23 y el 27 y 28 de febrero. El análisis de estas direcciones IP reveló que la gran mayoría de ellas ejecutan el “servidor de prueba de ancho de banda MikroTik” en el puerto 2000, con una firma de conexión de \x01\x00\x00\x00, recursividad habilitada en el puerto UDP/TCP 53 y múltiples versiones de los servicios MikroTik RouterOS en varios puertos. El análisis de las 50 IP más activas del segundo y tercer ataque reveló que el 76 % y el 92 %, respectivamente, pueden identificarse como dispositivos MikroTik.
