Mintegy a ma hajnali katonai támadást előszeleként tegnap erőteljes DDoS (elosztott szolgáltatás-megtagadásos támadás) indult  ukrán kormányzati szerverek ellen. A hírt a magyar Nemzeti Kibervédelmi Intézet is fontosnak érezte megosztani, nem véletlenül. Az orosz-ukrán konfliktus ugyanis a kibertérre is kiterjed. A hekkerek tudatosan készülhettek arra, hogy harci cselekmények lesznek. Már januárban elkezdtek olyan adatbázisokat kínálni a dark weben, melyek fontosak lehetnek a orosz-ukrán konfliktus (mától háború) érintettjei számára. Az Accenture ezzel kapcsolatos jelentése (PDF) szerint többek között olyan hálózati hozzáférések, adatbázisok és kompromittáló eszközök jelentek meg a feketepiacon, melyek potenciális veszélyt jelentenek a háborúzó felekre.

Mint azt a SecurityWeek írja a elemzésről készített összefoglalójában, az információkat nem sokkal azután kezdték árulni, miután januárban több ukrajnai kormányzati, informatikai és nonprofit szervezetet ért súlyos kibertámadás. Többek között sérült hálózatokhoz történő hozzáférést biztosító, valamint személyazonosításra is alkalmas információk szivároghattak ki.

Egy fórumon például mindössze 160 dollárért kínáltak hozzáférést egy ukrán mezőgazdasági tőzsde aldomainjéhez. Az eladó állítása szerint shell- és adatbázis-hozzáféréssel rendelkezik az aldomainhez, hozzáfér a fizetési információkhoz és a szerződésekhez is. Egy ilyen szintű hozzáféréssel megszerezhetők a személyazonosításra alkalmas információk éppúgy, mint kártyaadatok, de akár rosszindulatú szoftvereket, például zsarolóprogramokat is lehet telepíteni, be lehet dönteni az aldomain alatt futó weboldalt, vagy be lehet avatkozni a kereskedés folyamatába.

Az elemzők egy Tor oldalon öt "gov.ua" jelzésű adatbázis nyomaira bukkantak, amelyek állítólag ukrán állampolgárok személyes adatait tartalmazzák, és amelyeket (szintén állítólag) ukrán kormányzati oldalakról gyűjtöttek be. Az adatbázisokat január végén kínálták fel eladásra, és az ötből kettőt február 10-ig valószínűsíthetően el is adtak.

Szintén január végén jelent meg egy másik fórumon egy SQL-adatbázis, amely egy ukrán szövetségi ügynökségtől származhat, és körözött bűnözőkről tartalmaz részletes információkat. Egyes vélemények szerint azonban ezek olyan adatok, melyek nyilvánosan elérhetők egy ukrán kormányzati weboldalon.

Az SQL-adatbázissal egy időben megjelent a kínálatban egy pakk, ami egy ukrán bank 70 adminisztrátori fiókja mellett tartalmazza egy az ukrán energetikai szektorban érdekelt befektető cég 220 e-mail-címét és rendszereinek sebezhetőségeit. Egy másik hekker olyan adatbázist árul, amely ukrán állampolgárok személyes adatait tartalmazza. Utóbbi adatbázisból mintaadatokat is le lehetett tölteni, hogy a potenciális vevő ellenőrizhesse az adatok valódiságát.

A támadó kód nem áll meg a határon

A felkínált adatok egy részének hitelességét külső források is megerősítették. Az elemzés szerint azonban elég sok ellenőrizhetetlen információ kering, ami megnehezíti a veszély mértékének értékelését a biztonsági kutatók számára. Az Accenture elemzése arra figyelmeztet, hogy ezek az információk állami szereplők kezébe vezélyes fegyverré válhatnak: felhasználhatják kritikus infrastruktúrák (pl. energia- és közműhálózatok), pénzügyi intézmények elleni támadásokra, vagy lebéníthatják a kommunikációs rendszereket. Ráadásul ezek a támadások nem állnak meg az ukrán határnál; az orosz támadást elítélő országokat is fenyegetik.

Ez utóbbi veszély annyira valós, hogy még olyan lapoknál is fókuszba került, mint a New Scientist. A lap egy tegnap publikált cikkben annak kapcsán foglalkozik a témával, hogy a brit NCSC (National Cyber Security Centre) felszólította az Egyesült Királyság szervezeteit: sürgősen erősítsék meg kiberbiztonságukat. De a britek keményebb lépésekre is felkészültek. Ben Wallace védelmi miniszter február 21-én erre utalhatott, amikor arról beszélt a brit parlamentben, hogy katonaként azt tanulta meg, hogy legjobb védekezés a támadás.

Az USA-ban már február 16-án kiadták a figyelmeztetést, mindenekelőtt fegyveres erőknek szolgáltatásokat nyújtó vállalatoknak. Litvánia pedig február 22-én bejelentette, hogy aktiválja az EU-s Cyber ​​Rapid Response Teamet, amelynek egyik feladata az lesz, hogy segítsenek az ukrán intézményeknek a kibertámadások elleni védekezésben, idézi fel a New Sientist cikke.