Zhadnost Botnet

Es wurde ein neuer Malware-Stamm gefunden, der bei DDoS-Angriffen auf die digitale Infrastruktur der Ukraine verwendet wird. Die Drohoperationen fanden unmittelbar vor und während der ersten Tage der russischen Invasion des Landes Ukraine statt. Der Name, den diese Botnet-Malware von den Forschern, die ihre Funktionalitäten und den zugrunde liegenden Code analysierten, erhalten hat, lautet Zhadnost. Bisher wurden drei verschiedene Angriffe mit der Bedrohung identifiziert.

Angriffsdetails

Die Bedrohungsakteure haben die ukrainische Regierung und Finanzwebsites ständig ins Visier genommen. Genauer gesagt scheinen ihre Ziele die Websites der folgenden 7 Unternehmen zu sein:

• Ukrainisches Außenministerium
• Ukrainisches Verteidigungsministerium
• Ukrainisches Innenministerium
• Sicherheitsdienst der Ukraine
• Ukrainisches Ministerkabinett
• Oschadbank
• Privatbank

Die Wirksamkeit der DDoS-Angriffe (Distributed Denial of Service) war minimal, wobei die Websites ihre normale Funktionalität relativ schnell wieder herstellten. Es sei darauf hingewiesen, dass der erste entdeckte Angriff aus einer Kombination zwischen Zhadnost und anderen Botnets bestand, während die nachfolgenden Angriffe ausschließlich von Zhadnost durchgeführt wurden. Eine Zuordnung der Malware zu einem bestimmten Bedrohungsakteur war mit den derzeit verfügbaren Informationen nicht möglich, aber es ist ziemlich wahrscheinlich, dass die für das Botnet verantwortliche Cybercrime-Organisation Verbindungen zu Russland hat.

Zhadnost-Botnet-Details

Bisher wurden über 3.000 eindeutige IP-Adressen identifiziert, die mit dem Zhadnost-Botnet infiziert sind. Die Mehrheit der kompromittierten Geräte sind MikroTik-Router, die durch falsch konfigurierte DNS-Rekursionseinstellungen oder andere Schwachstellen verletzt wurden. Die Bots wurden dann angewiesen, DDoS-Angriffe durch HTTP-Floods und DNS-Verstärkung zu starten. Es sei darauf hingewiesen, dass sich keiner der derzeit bekannten Zhadnost-Bots in Russland oder Weißrussland befindet. Stattdessen sind sie über mehrere Länder und mehrere Kontinente verteilt.

Da Russland in seinen Aktionen gegen die Ukraine aggressiver und rücksichtsloser wird, erwarten Cybersicherheitsexperten, dass auch die Bemühungen, wichtige Websites und digitale Plattformen zu stören, zunehmen würden. Dies könnte bedeuten, dass die Malware trotz der fehlenden Auswirkungen der aktuellen Operationen im Zusammenhang mit dem Zhadnost-Botnet für präzisere Angriffe auf kritische Ziele wie Stromgeneratoren, Telekommunikationsdienste, Militäreinheiten usw. eingesetzt werden könnte.