Российские киберпреступники провели DDoS-атаки на сайты правительственных органов США во время голосования на промежуточных выборах

• Журналисты сообщили, а представители Агентства по кибербезопасности и безопасности инфраструктуры подтвердили, что 8 ноября DDoS-атака временно отключила веб-сайт правительства штата Миссисипи во время голосования страны на промежуточных выборах.

• Группа CyberArmyofRussia_Reborn, называющая себя пророссийскими хактивистами, в тот же день взяла на себя ответственность за атаку на правительство штата и еще одну атаку на сайт руководящего органа политической партии США.

• Исследователи использовали эксклюзивные данные SecurityScorecard для выявления трафика с IP-адресов, которые могли быть причастны к атакам.

  • Сопоставив этот трафик с внутренними данными аналитики угроз SecurityScorecard, исследователи определили IP-адреса, содержащиеся в черных списках (доступных по запросу), разработанных после DDoS-атак, приписываемых другим русскоязычным группам злоумышленников.

  • Исследователи также выявили новые IP-адреса (также доступные по запросу), которые ранее не фигурировали в этих черных списках, но могли участвовать в атаке. Добавление этих IP-адресов в черные списки может помочь организациям защититься от будущих DDoS-атак.

• Официальные лица не приписывают атаку этой группе и не подтверждают, что политическая партия также подверглась DDoS-атаке. Однако данные, собранные SecurityScorecard, позволяют предположить, что одни и те же субъекты могли атаковать обе организации и что эта атака затрагивала инфраструктуру, ранее использовавшуюся в других DDoS-атаках , на которые претендовали связанные с Россией группы хактивистов.

• SecurityScorecard с умеренной степенью уверенности оценивает, что CyberArmyofRussia_Reborn знает об ограниченном и временном воздействии распределенных атак типа «отказ в обслуживании» (DDoS) на операционную деятельность, но, вероятно, продолжит их проводить из-за их предполагаемого влияния на общественное мнение в отношении безопасности правительств штатов и критически важная инфраструктура.

Веб-сайты в Миссисипи подверглись атаке отказа в обслуживании во время голосования страны на промежуточных выборах

Ссылаясь на высокопоставленных чиновников Агентства кибербезопасности и безопасности инфраструктуры (CISA), журналисты сообщили 8 ноября, что DDoS-атаки временно отключили веб-сайт правительства штата. Группа пророссийских хактивистов CyberArmyofRussia_Reborn взяла на себя ответственность за эту атаку и еще одну на сайте руководящего органа политической партии США в один и тот же день, указав один целевой IP-адрес для каждой организации.

По состоянию на 9:30 утра по восточному поясному времени 9 ноября официальные лица не приписывают атаку этой группе и не подтверждают, что партийная организация также подверглась DDoS-атаке. Однако в день атаки сайт партийного руководящего органа был короткое время недоступен.

Хотя эти заявления сделаны другой группой, они сильно напоминают заявления KillNet. KillNet — это пророссийская группа хактивистов, которая провела серию относительно несложных атак в течение 2022 года и взяла на себя ответственность за DDoS-атаки против правительств штатов в начале октября. Группа также достаточно ориентирована на пиар.

Поскольку это

• Развивает подписчиков через канал Telegram (который также используется для поощрения подписчиков к проведению собственных DDoS-атак)

• Обычно делает публичные заявления, чтобы взять на себя ответственность за свои атаки.

• В некоторых случаях берет на себя ответственность за атаки, которых могло и не быть, явно пытаясь нанести ущерб репутации их предполагаемых жертв.

Подход CyberArmyofRussia_Reborn к общедоступным сообщениям очень похож на подход KillNet: он использует Telegram для привлечения и поддержания подписчиков и выявления своих целей.

С апреля 2022 года CyberArmyofRussia_Reborn не только взяла на себя ответственность за свои DDoS-атаки, но и слила данные, украденные у жертв вторжений, приписываемых APT28, более сложной группе злоумышленников, которая, как считается, действует от имени Главного разведывательного управления (ГРУ) России. Похоже, что группа проводит операции по оказанию влияния в качестве публичного дополнения к более скрытой, шпионской и направленной на подрыв деятельности деятельности APT28. Это привело к тому, что аналитики с умеренной уверенностью оценили, что CyberArmyofRussia_Reborn координирует свои операции с APT28. Важно отметить, что огласка, по-видимому, является связующим звеном между его заявлениями о DDoS-атаках и публикацией украденных данных, поскольку и то, и другое может подорвать доверие общественности к целевым организациям.

Результаты

Хотя официальные лица еще не приписали атаку правительства штата CyberArmyofRussia_Reborn и не подтвердили, что партийная организация также подверглась DDoS-атаке, данные, собранные SecurityScorecard, позволяют предположить, что одни и те же субъекты могли атаковать обе организации и что эта атака затрагивала инфраструктуру, ранее использовавшуюся в других DDoS-атаках. атаки, за которые взялись связанные с Россией группы хактивистов.

Изучая данные о трафике, включающем оба IP-адреса, которые CyberArmyofRussia_Reborn идентифицировала в качестве своих целей в день атаки, исследователи выявили значительное совпадение между IP-адресом, который взаимодействовал с целевыми IP-адресами, и между трафиком, включающим целевые IP-адреса, и трафиком. наблюдалось в предыдущих DDoS-атаках, связанных с группами злоумышленников Killnet и «Zhadnost», обе из которых также проводили DDoS-атаки в поддержку интересов России.

Пятьдесят два одинаковых IP-адреса обменивались данными с обоими целевыми IP-адресами CyberArmyofRussia_Reborn в день заявленных атак. Из них сорок четыре связывались с обоими целевыми IP-адресами, но ранее не появлялись в других образцах трафика, собранных в ходе предыдущих расследований DDoS-атак, связанных с Россией, SecurityScorecard. Таким образом, эти сорок четыре IP-адреса (доступные по запросу) могут быть новыми индикаторами компрометации (IoC); добавление их в черные списки может помочь защититься от подобных атак в будущем.

В дополнение к этим новым IP-адресам исследователи выявили 119 IP-адресов, которые связывались с обоими целевыми IP-адресами в день атаки и появлялись во внутренней платформе анализа угроз SecurityScorecard, поскольку ранее они связывались с целями DDoS-атак, приписываемых KillNet и Zhadnost. группы. Это может свидетельствовать о том, что разные группы использовали одну и ту же инфраструктуру. Кроме того, это указывает на то, что эти IP-адреса также заслуживают блокировки, чтобы снизить риск будущих атак со стороны любой группы, которая использует эти же IP-адреса.

Вывод

Эти действия, по-видимому, отражают те, которые обсуждались в недавнем Уведомлении ФБР для частных предприятий , в котором подчеркивается, что психологическое воздействие хактивистских DDoS-атак часто может затмить их фактическое (и довольно ограниченное) оперативное воздействие. Как и в случае с KillNet, учитывая их очевидную направленность на публичность, SecurityScorecard оценивает с умеренной степенью уверенности, что группа CyberArmyofRussia_Reborn осознает ограниченное и временное влияние своих распределенных атак типа «отказ в обслуживании» (DDoS) на операционную деятельность, но, вероятно, продолжит их проводить из-за их предполагаемое влияние на общественное мнение в отношении безопасности правительств штатов и критической инфраструктуры.

Хотя эти результаты не доказывают, что CyberArmyofRussia_Reborn несет ответственность за обе атаки или что DDoS-атака была причиной сбоя в обслуживании партийной организации, они позволяют предположить, что страницы правительства штата и национальной партии были целями попыток DDoS-атак с использованием инфраструктуры. ранее работал в других пророссийских хактивистских группах. Перекрытия в инфраструктуре, предполагаемые общими IP-адресами, которые, по-видимому, участвовали в атаках, заявленных различными группами субъектов угроз, также предполагают, что одни и те же средства смягчения могут помочь защититься от них.

Возможные меры

• Заблокируйте IP-адреса в списках блокировки ботов SecurityScorecard.

• Крайне важно внедрить средства защиты от DDoS-атак с помощью таких сервисов, как Cloudflare, Akamai или AWS Cloudfront. Наличие только брандмауэра не остановит объем трафика, который мы наблюдали во время предыдущих DDoS-атак.

• Обратите внимание, что блокировка российских IP-адресов не остановит DDoS-атаки. Атаки исходят от открытых прокси и DNS-преобразователей, расположенных по всему миру.

• Настройте преобразователи DNS и прокси-серверы так, чтобы они принимали запросы только от внутренних IP-адресов и авторизованных пользователей, если нет практических причин не делать этого. Большая часть инфраструктуры ботов основана на открытых прокси-серверах и преобразователях DNS. Если бы все эти сервисы были правильно настроены, это нанесло бы сокрушительный удар по операторам ботнетов.

Напомним, что наш сайт уже больше месяца подвергается DDoS атаке