Universitäten in der Ukraine wurden gehackt, als die russische Invasion begann

4. März 2022
Hinweis: Dieser Artikel wurde aktualisiert, um zu verdeutlichen, dass der Hosting-Provider "Njalla", über den der bösartige Datenverkehr geleitet wurde, seinen Sitz in Schweden und nicht in Finnland hat, obwohl die IP-Geolokalisierungsdaten darauf hindeuten, dass der Server, über den der Datenverkehr lief, in Finnland stehen könnte. Wir haben auch den Titel des Beitrags aktualisiert, um diese Änderung widerzuspiegeln. Das Wordfence-Team hat einen massiven Angriff auf ukrainische Universitäten identifiziert, der mit dem Einmarsch Russlands in die Ukraine zusammenfiel und zu mindestens 30 kompromittierten Websites ukrainischer Universitäten führte. Wir haben den Bedrohungsakteur identifiziert, der hinter dem Angriff steckt. Er gehört zu einer Gruppe namens Monday Group, die von ihren Mitgliedern als "theMx0nday" bezeichnet wird. Die Gruppe hat öffentlich erklärt, dass sie Russland in diesem Konflikt unterstützt. Der Bedrohungsakteur hat seinen Sitz in Brasilien. Die meisten Angriffe erfolgten über einen Internetdienstleister namens Njalla, der behauptet, er sei "Er gilt als der weltweit berüchtigtste 'Privacy as a Service'-Anbieter für Domains, VPS und VPNs".. Njalla ist ein in Schweden ansässiger Hosting-Anbieter und wird von Peter Sunde betrieben, dem Mitbegründer von Pirate Bay. Der Njalla-Server, über den der Datenverkehr geleitet wurde, scheint laut IP-Geolokalisierungsdaten in Finnland zu stehen, obwohl Njalla behauptet, seine Server befänden sich "an geheimen Orten in Schweden". Wordfence schützt über 8.000 Websites in der Ukraine. Zusätzlich zu den mehr als 300 Universitäten, die wir in der Ukraine schützen, schützen wir auch private, staatliche, militärische und polizeiliche Websites. Dadurch haben wir Einblick in die Angriffe auf die Ukraine. In diesem Beitrag erklären wir, wie wir zu den obigen Schlussfolgerungen gekommen sind, und wir stellen unterstützende Daten, Erklärungen und visuelle Darstellungen zur Verfügung. Außerdem aktivieren wir bis auf Weiteres unsere Echtzeit-Bedrohungsdaten für alle Websites unter der ukrainischen Top-Level-Domain (TLD) .UA. Dies ist normalerweise nur für unsere zahlenden Kunden verfügbar. Die große Mehrheit der Websites, die Wordfence nutzen, verwenden die kostenlose Open-Source-Version. Diese Websites profitieren von dieser Änderung, indem sie eine kommerzielle IP-Blockliste, Echtzeit-Firewall-Regeln und Malware-Erkennung in Echtzeit erhalten. Die Betreiber ukrainischer Websites müssen nichts unternehmen, um diesen Live-Bedrohungs-Feed zu erhalten. Wir haben die Änderung vor wenigen Minuten in Betrieb genommen und über 8.000 Websites mit der Endung .UA werden in den nächsten 24 Stunden mit den neuesten Bedrohungsdaten aktualisiert. Weitere Details zu dieser Änderung findest du am Ende dieses Artikels.

Allgemeine Angriffsmuster als die kinetische russische Invasion am 24. Februar begann

Die russische Invasion in der Ukraine begann am 24. Februar. Die folgende Grafik zeigt die Gesamtzahl der Angriffsversuche auf von uns geschützte Websites mit der ukrainischen TLD .UA vor und nach der Invasion. Dieser Datensatz umfasst 8.320 .UA-Websites. In diesem Blogbeitrag verwenden wir den Begriff "Angriff", um einen ausgeklügelten Angriffsversuch zu bezeichnen. Dazu gehören keine einfachen Brute-Force-Angriffe (Versuche, den Login zu erraten) oder verteilter Denial-of-Service-Verkehr. Es geht nur um Versuche, eine Schwachstelle auf einer WordPress-Website auszunutzen, die von Wordfence geschützt wird. Der obige Spitzenwert liegt bei knapp über 144.000 Angriffen am 25. Februar, einen Tag nach Beginn des kinetischen Angriffs. Der Spitzenwert ist etwa dreimal so hoch wie die Zahl der täglichen Angriffe auf die von uns geschützten ukrainischen Websites zu Beginn des Monats.

Untersuchung des Anstiegs der Angriffe auf die Ukraine

Wordfence schützt eine breite Palette von Websites in der Ukraine, darunter kommerzielle, lokale und nationale Regierungs-, Militär-, Polizei-, akademische und private Websites. Dadurch können wir Angriffsdaten aus einer Vielzahl von Bereichen erfassen. Wir haben eine Liste der Websites zusammengestellt, die seit dem Tag vor dem Beginn der Invasion bis Montag, den 28. Februar, mindestens doppelt so viele Angriffe erhalten haben wie in den 27 Tagen vor dem Angriff. Das ist ein 10-facher Anstieg der durchschnittlichen täglichen Anzahl von Angriffen. Von den 8.320 UA-Websites, die wir schützen, fanden wir eine Liste von 383 Websites, bei denen die Angriffe nach dem Angriff drastisch zugenommen hatten. Von diesen 383 Websites waren 229 Websites, die auf "EDU.UA" endeten. Mit anderen Worten: akademische Websites und Universitäten in der Ukraine. Ein Angreifer unternahm eine konzertierte Aktion, um Universitäten in der Ukraine anzugreifen, und sie begannen unmittelbar nach dem Beginn der russischen Invasion.

Wie groß war der Angriff auf die ukrainischen Universitäten?

Wir schützen insgesamt 376 .EDU.UA-Websites in der Ukraine. Die folgende Tabelle zeigt die Angriffsaktivitäten auf all diese Websites bis zum 28. Februar. Sie zeigt nur ausgefeilte Angriffsversuche. Die meiste Zeit des Monats gab es einige hundert Angriffe pro Tag auf alle von uns geschützten .EDU.UA-Websites. Ab dem 25. Februar verzeichneten wir eine Spitze von über 104.000 Angriffen an einem einzigen Tag, die auf diese akademischen Websites abzielten. Um dies in die richtige Perspektive zu rücken, sehen wir:
  • 479 Angriffe am 24. Februar
  • 37,974 Angriffe am 25. Februar
  • 104,098 Angriffe am 26. Februar
  • 67,552 Angriffe am 27. Februar

Von welchen IP-Adressen ging dieser Angriff aus?

Die wichtigsten angreifenden IP-Adressen, die während unseres zweitägigen Zeitfensters, als die Invasion in der Ukraine begann, auf EDU.UA-Seiten zielten, sind:
  • 185.193.127.179 mit 169.132 Angriffen
  • 159.223.64.156 mit 26.074 Angriffen
  • x.x.x.x mit 10.134 Angriffen [Redacted for a technical reason]
  • 217.77.209.242 mit 1991 Angriffen
Hinweis: Der letzte Server in der Liste ist ein .EDU.UA-Server und scheint ein kompromittierter Rechner zu sein, der andere EDU.UA-Sites angreift. Wir haben in diesem Zeitraum über 7.000 IP-Adressen erfasst, aber jede einzelne von ihnen, außer den vier oben genannten, hat weniger als 100 Angriffe verzeichnet. Die vier oben genannten IP-Adressen waren mit Abstand die größten Angreifer. Und 185.193.127.179 verzeichnete mehr als sechsmal so viele Angriffe wie der zweithöchste Täter.

Wer steckt hinter 185.193.127.179?

Njalla ist der Hosting-Provider für 185.193.127.179 und ist von Peter Sunde betrieben, dem Mitbegründer von Pirate Bay. Njalla sagt auf ihrer Homepage ganz offen, dass sie

"Als der weltweit berüchtigtste "Privacy as a Service"-Anbieter für Domains, VPS' und VPNs."

Peter Sund sagt in seinem Blog, er sei "besorgt über die Zentralisierung der Macht in der EU".. Seinem Wikipedia-Eintrag zufolge war Herr Sunde im Jahr 2014 im Zusammenhang mit dem Fall The Pirate Bay verhaftet und verbüßte zwei Drittel seiner 8-monatigen Haftstrafe. Njalla ist ein Dienstanbieter für VPNs, was es möglich macht, dass der Angriff von einem ihrer Kunden, einem gehackten Server, der zu einem ihrer Kunden gehört, oder von einem VPN-Exit-Node ausging. Wir vermuten, dass das VPN von Njalla als Exit-Knotenpunkt genutzt wurde, um einen Bedrohungsakteur zu maskieren, den wir weiter unten beschreiben. Die überwiegende Mehrheit der Angriffe von 185.193.127.179 richtete sich gegen Bildungseinrichtungen in der Ukraine, wobei über 171.000 Angriffe zielten auf EDU.UA-Sites. Sie hatten es auf einige Regierungsseiten und drei individuelle Websites abgesehen (redigiert). Sie starteten 24 Angriffe auf Unternehmen in der Ukraine und vier Angriffe auf Unternehmen in Brasilien. Die Verbindung zu Brasilien wird weiter unten deutlich werden. Diese IP hat vor dem Einmarsch Russlands in die Ukraine nicht angegriffen. Dann stieg sie während der Invasion für drei Tage an und zielte insbesondere auf Universitäten in der Ukraine ab. Dann sank sie wieder auf Null.

Die Angriffe kompromittieren die Universitäten

Bei unserer Analyse von Malware-Nutzdaten, die auf EDU-Websites abzielen, fanden wir Informationen, die uns den Namen der Gruppe verrieten, die es auf diese Websites abgesehen hat. Die Gruppe nennt sich "theMx0nday" und in diesem Beitrag werden wir sie als die Gruppe "Monday" bezeichnen. Die Website Zone-H.org bietet ein Archiv der verunstalteten Websites. Sobald wir die Bedrohungsakteure im Griff hatten, konnten wir ZoneH nach Websites durchsuchen, die damit in Verbindung standen und gehackt worden waren. Wir fanden dies: Eine riesige Liste kompromittierter EDU.UA-Websites, die der Montagsgruppe zugeschrieben wird, datiert auf den 26. Februar, kurz nachdem wir einen Anstieg der Angriffe auf EDU.UA-Websites festgestellt hatten. Wie du unten sehen kannst, beginnen die verunstalteten EDU.UA-Websites, die auf ZoneH aufgelistet sind, abrupt am 26. Februar. Als die Invasion begann, entschied sich dieser Bedrohungsakteur, gezielt ukrainische Universitäten ins Visier zu nehmen.

Motivationen der Angreifer

Auf dem obigen Screenshot siehst du die brasilianischen Websites, die auf ZoneH aufgelistet sind und der Montagsgruppe zugeschrieben werden. Von der oben genannten IP-Adresse von Njalla gab es einige Treffer, die auf Brasilien abzielten. Das Archiv auf ZoneH der verunstalteten Seite für die Nationale Universität Ostroh Academy, die eine bekannte Universität, deren Geschichte bis ins Jahr 1576 zurückreichtzurückreicht, sieht so aus. Dieses Bild ist teilweise geschwärzt, um keine Bedrohungsakteure zu fördern. Wir haben das Handle son1x im obigen Bild beibehalten, weil dieser Bedrohungsakteur in der Vergangenheit bereits sensible Daten gestohlen hat. Im Oktober letzten Jahres hat er die Website der indonesischen Cyber- und Codebehörde (BSSN) verunstaltet und im November hat derselbe Angreifer Personalakten der indonesischen Polizei gestohlen. Dieser Bedrohungsakteur nennt sich auch "son1x777" auf einer jetzt-suspended Twitter-Konto. Die Gruppe, zu der dieser Bedrohungsakteur gehört, die Montagsgruppe, hat einen Twitter-Account, auf dem sie ihre Unterstützung für Russland zum Ausdruck brachte, und zwar Tage bevor die russische Invasion begann und bevor sie anfing, ukrainische Universitäten zu hacken. Die Montagsgruppe hat in der Vergangenheit viele brasilianische Websites angegriffen. Sie betten ein brasilianisches Rap-Video in den HTML-Code der Websites ein, die sie verunstalten. Ihr Twitter-Konto ist auf Portugiesisch. Daraus können wir schließen, dass sie ihren Sitz in Brasilien haben und Brasilianer sind.

Der vollständige Angriffsweg

Wir haben festgestellt, dass der Bedrohungsakteur seinen Sitz in Brasilien hat. Sie nutzten eine Reihe von IP-Adressen, um einen Angriff auf ukrainische Universitäten zu starten, als die russische Invasion in der Ukraine begann. Die meisten Angriffe wurden über Njalla mit Sitz in Schweden abgewickelt. Njalla behauptet, seine Server befänden sich "an geheimen Orten in Schweden", obwohl der spezifische Ausgangsknotenpunkt laut IP-Geolokalisierungsdaten in Finnland zu liegen scheint. Hinter Njalla steht Peter Sunde, der Mitbegründer von The Pirate Bay, der stolz darauf ist, die Identität seiner Kunden zu verschleiern. Durch die Angriffe wurden mindestens 30 ukrainische Universitätswebseiten kompromittiert, die in ZoneH aufgelistet sind und Beweise für die Kompromittierungen enthalten.

Wordfence setzt Echtzeit-Bedrohungsdaten für ukrainische Websites ein

Die Nationale Universität Ostroh Akademie ist eine der betroffenen Schulen, deren Website gehackt wurde.

Die Nationale Universität Ostroh Akademie ist eine der betroffenen Schulen, deren Website gehackt wurde.

Ab sofort stellen wir Echtzeit-Firewall-Regeln, Echtzeit-Malware-Signaturen und unsere IP-Blockliste für alle Websites unter der Top-Level-Domain .UA, die von Wordfence geschützt werden. Normalerweise sind unsere Echtzeit-Bedrohungsdaten nur für unsere Premium, Pflege und Antwort Kunden zu einem Mindestpreis von 99 US-Dollar pro Jahr und Website. Wir tun dies, um Cyberangriffe auf die Ukraine abzuwehren. Dieses Update erfordert keine Aktion von Nutzern der kostenlosen Version von Wordfence auf der UA Top-Level-Domain. Wir aktivieren diesen Live-Sicherheits-Feed für UA-Websites bis auf Weiteres automatisch. Innerhalb der nächsten Stunden werden über 8.000 ukrainische Websites, die die kostenlose Version von Wordfence nutzen, automatisch viel sicherer gegen Angriffe wie diese, die auf sie abzielen. Die bösartigen IP-Adressen, die an diesem Angriff beteiligt waren, sind in unserer Blockliste enthalten, die den Zugriff auf WordPress und andere PHP-Anwendungen, die neben WordPress installiert sind, vollständig blockiert. Die Liste wird in Echtzeit aktualisiert, da die Angreifer immer wieder neue IP-Adressen verwenden. Außerdem setzen wir regelmäßig neue Firewall-Regeln und Malware-Erkennung ein, um neue Angriffe und bösartige Aktivitäten zu blockieren und zu erkennen. Anstelle der üblichen 30-tägigen Verzögerung für kostenlose Kunden erhalten ukrainische Websites diese Sicherheitsupdates bis auf Weiteres in Echtzeit. Auch hier gilt, dass die ukrainischen Nutzer der kostenlosen Version von Wordfence nichts tun müssen und weder bezahlen noch persönliche Daten preisgeben müssen. Sie werden in den nächsten Stunden einfach sicherer werden. Es ist das erste Mal in der Geschichte unseres Unternehmens, dass wir diese Maßnahme ergreifen. Wir reagieren damit auf die Krise, die sich in der Ukraine entwickelt hat. #WeSupportUkraine Mark Maunder - Wordfence-Gründer & CEO Dieser Beitrag wurde von Mark Maunder verfasst, mit wichtigen Beiträgen des Wordfence Threat Intelligence Teams.

Quelle

Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt https://www.wordfence.com/blog/2022/03/ukraine-universities-hacked-by-brazilian-via-finland-as-russian-invasion-started/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung