Direktøren for cybersikkerhet i den russiske banken Sberbank, Sergej Lebed, holdt denne uken et foredrag om cyberangrep mot russiske interesser. Det skjedde under konferansen Positive Hack Days, som ble arrangert i Moskva.
Der innrømmet Lebed at Sberbank 6. mai i år ble utsatt for det hittil største distribuerte tjenestenektangrepet (DDoS) i bankens historie. Mer enn 450 gigabyte med data pr. sekund skal ha blitt sendt til bankens webservere. Sberbank greide ifølge Lebed å stå imot angrepet. Det oppgis at botnettet som ble brukt i angrepet, består av mer enn 27.000 enheter i land som Taiwan, USA, Japan og Storbritannia.
Eksplosiv vekst
Ifølge Sberbank skal økningen i cyberangrep mot russiske virksomheter ha hatt en eksplosiv vekst de siste tre månedene. Blant annet skal DDoS-angrepene ha blitt kraftigere. Trolig er mye av dette reaksjoner på Russlands invasjon av Ukraina.
– Mens det før 24. februar ble registrert ett DDoS-angrep i uka, registrerte vi allerede i mars opptil 46 samtidige DDoS-angrep mot ulike Sberbank-ressurser. Angrepene benyttet et bredt spekter av verktøy, inkludert ondsinnet kode integrert i nettleserne til brukere som besøkte kinonettsteder. I dag står banken overfor angrep døgnet rundt, sa Lebed.
Han fortalte videre at bankens operasjonssenter analyserer og svarer på cyberangrep 24/7.
– Men når det gjelder selskaper i andre sektorer, har de fleste av dem aldri stått overfor noe tilsvarende og kan virkelig ta skade av det.
Lekkede data
Sberbank regner med at mengden angrep vil gå ned i tiden framover, men være kraftigere og mer fokuserte. Det nevnes også at tilgjengeligheten av et stort antall databaser vil gjøre nye typer svindel mulig.
Hvilke databaser det da er snakk om, er uklart. Men blant annet Anonymous-tilknyttede grupper har de siste månedene hentet ut enorme mengder med data fra russiske virksomheter. Det er ikke usannsynlig at noe av dette vil kunne utnyttes i cyberangrep.
Visma med stor IT-blemme: – Vi tar hendelsen alvorlig
Kinesisk spionasje
Ifølge cybersikkerhetsselskapet Check Point er det ikke bare vestlig orienterte aktører som angriper russiske interesser. Det samme gjør kinesiske trusselgrupper.
I løpet av de to siste månedene har Check Point observert flere APT-grupper (Advanced Persistent Threat) som forsøker å utnytte krigen mellom Russland og Ukraina som et lokkemiddel for cyberspionasje. Blant annet anses russiske virksomheter som attraktive mål for «spear phishing»-kampanjer som utnytter de vestlige sanksjonene mot Russland.
Check Point skriver spesielt om slike angrep som har vært rettet mot to russiske forsvarsinstitutter, som begge er en del av det statseide forsvarskonglomeratet Rostec. Også et hviterussisk forsvarsinstitutt har trolig blitt berørt.
Kampanjen, som Check Point oppgir med stor sikkerhet at er kinesisk, skal ha pågått i alle fall siden juni i fjor. Det er uklart om den fortsatt er aktiv, siden den siste observerte aktiviteten skjedde i april i år.
Helt nye angrepsverktøy
Check Point mener det er trusselgruppene Stone Panda/APT 10 og Mustang Panda som står bak angrepene. Selve kampanjen kaller Check Point for Twisted Panda.
De kinesiske hackerne skal i forbindelse med Twisted Panda ha tatt i bruk flere verktøy som ikke har blitt beskrevet tidligere. Dette inkluderer en såkalt loader med flere lag og en bakdør som er gitt navnet SPINNER. Begge benytter avanserte teknikker som bidrar til å holde dem skjult for sikkerhetsløsninger.
Blogginnlegget til Check Point inneholder mange detaljer om hvordan skadevareverktøyene fungerer.
70 norske bredbåndskunder brukt til å gjennomføre Ddos-angrep