Op 14 januari heeft de Oekraïense veiligheidsdienst SSU een verklaring afgegeven over een aanval op webstekken van diverse overheidsorganisaties. Hierbij werden berichten geplaatst op de stekken waar in het Pools, Oekraïens en Russisch werd gedreigd om gestolen persoonlijke gegevens van Oekraïense burgers openbaar te maken en zich voor te bereiden ‘op het ergste’. In een volgend verklaring van de SSU werd duidelijk dat er naar alle waarschijnlijkheid sprake is geweest van een aanval op de beheerder van die weblocaties, mogelijk door kwetsbaarheden in October CMS (CVE-2021-32648) en Log4j. Deze beheerder beschikte over extra bevoegdheden om de webstekken aan te passen.
Microsoft publiceerde op 15 januari in een blog over het Whispergate-virus (ook wel WhisperKill genoemd) dat is ingezet tegen verschillende (overheids)organisaties in Oekraïne. Whispergate is een wisvirus dat zich voordoet als losgeldcode, maar de code ontbeert de mogelijkheid beschadigde systemen of bestanden te herstellen (waardoor die effectief gewist worden of waardoor het besturingssysteem onklaar wordt gemaakt). In tegenstelling tot de NotPetya-code die in 2017 wereldwijde rondwaarde, is Whispergate niet in staat om zichzelf te verspreiden zonder menselijke tussenkomst. Hierdoor is Wispergate een aanzienlijk minder gevaarlijk dan NonPetya.
Daders?
Op 26 januari heeft CERT Ukraine (CERT UA) een deel van het onderzoek naar de aanvallen en de geopenbaarde bedreigingen openbaar gemaakt. Er bleken veel overeenkomsten te bestaan tussen het Whispergate-virus en het WhiteBlackCrypt-virus. Deze overeenkomsten zouden er op wijzen dat het de bedoeling was van de aanvaller om het te doen voorkomen dat Oekraïne zelf achter de aanvallen zat.
Na de grote aanvallen van 14 januari heeft het de nationale CERT van Oekraïne verscheidene waarschuwingen afgegeven voor andere campagnes die zich richten op overheidsinstanties. Tevens hebben verschillende digiveiligheidsbedrijven onderzoek gepubliceerd naar aanleiding van de aanvallen in Oekraïne.
Zo hebben Palo Alto Networks Unit42, Symantec en Microsoft onderzoek gedaan naar de activiteiten van a-kraakgroep Gamaredon, ook bekend als ACTINIUM. De activiteiten kunnen vooralsnog niet in verband gebracht worden met de aanvallen van 14 januari. Gamaredon is een bekende kraakgroep die zich tot nu toe heeft gericht op doelwitten in Oekraïne.
De aanval met WhisperGate of met andere middelen in Oekraïne hebben niet geleid tot activiteit in Nederland. Toch is het raadzaam om alert te blijven, stelt de NCSC, en verwijst naar een publicatie van de AIVD en MIVD ‘Cyberaanvallen door statelijke actoren, zeven momenten om een aanval te stoppen’. De basismaatregel van NCSC “Segmenteer netwerken” kan helpen om te voorkomen dat een aanval op een gekoppeld netwerk invloed kan hebben op uw (hele, meen ik te weten; as) organisatie, voegt het centrum er behulpzaam aan toe. Voor een eenvoudige websurfer is dat, vrees ik, te hoog gegrepen.