Un ataque de denegación de servicio distribuido (DDoS) contra los sitios web del Ministerio de Relaciones Exteriores y el Ministerio de Defensa de Finlandia fue obra de una red de bots recientemente descubierta denominada Zhadnost, y probablemente fue orquestada por actores rusos o prorrusos, según SecurityScorecard (SSC). ) investigadores de amenazas.
El ciberataque tuvo lugar el viernes 8 de abril, al mismo tiempo que el presidente de Ucrania, Volodymyr Zelensky, estaba dando un discurso virtual a los miembros del parlamento finlandés, y pocas horas después de una supuesta violación del espacio aéreo finlandés por parte de un ruso Ilyushin IL-96-300. avión: se desconoce si era un avión militar, aunque se sabe que el gobierno ruso usa este modelo como tal.
Los analistas de SSC descubrieron que el ataque cibernético se mantuvo durante un período de cuatro horas y se lanzó desde más de 350 direcciones IP únicas de todo el mundo, pero predominantemente por bots ubicados en Bangladesh y África. La mayoría de ellos, el 82 %, eran enrutadores MikroTik (MikroTik es un fabricante de hardware de firewall y enrutamiento con sede en Letonia que se centra en los mercados emergentes), y el resto era una combinación de dispositivos que ejecutan Apache, Squid Proxy y Caddy Server.
Ryan Slaney de SSC dijo que los enrutadores MikroTik lamentablemente contienen un “grupo de vulnerabilidades” que hacen que su base instalada sea una herramienta particularmente útil para los actores de amenazas. Se cree que hay unas 875.000 unidades desplegadas, lo que potencialmente representa un “número casi infinito” de bots, dijo.
“La composición de estos bots es casi idéntica a la de la botnet Zhadnost, que fue responsable de tres ataques DDoS separados contra el gobierno ucraniano y sitios web financieros antes y poco después de la invasión rusa de Ucrania”, escribió Slaney en un aviso de divulgación.
“El ataque de Finlandia es idéntico al primer ataque de Ucrania, que se llevó a cabo el 15 de febrero. Ambos ataques consistieron en inundaciones de HTTPS y se basaron en dispositivos MikroTik, Squid Proxy y Apache para realizar el ataque.
“Con la adición de los más de 350 bots que identificamos en esta campaña, SSC ahora tiene conocimiento de casi 3350 bots que componen la red de bots Zhadnost”.
Un efecto secundario de la guerra del presidente ruso, Vladimir Putin, contra Ucrania ha sido solidificar la alianza occidental de la OTAN e impulsar a países previamente neutrales, incluidos Finlandia y Suecia, a convertirse en miembros acelerados de la alianza. Mantener a estos dos países fuera de la OTAN ha sido durante mucho tiempo un objetivo de la política exterior de Rusia.
SSC cree que el ataque cibernético fue motivado por la búsqueda de Finlandia de ser miembro de la OTAN y evalúa con confianza moderada que fue obra de un actor vinculado a Rusia, aunque se abstuvo de atribuirlo con precisión.
El ataque tuvo poco impacto duradero y ambos sitios web se restauraron rápidamente. SSC cree que es probable que el operador de la red de bots haya sido consciente de esto y pretenda que la acción fuera más una demostración de fuerza que un intento de causar un daño duradero.
Sin embargo, Slaney sugirió que el ataque DDoS contra el gobierno finlandés podría anunciar nuevas acciones dependiendo de cómo resulte la adhesión propuesta de Finlandia a la OTAN. Él dijo: “Basado en la historia previa de los ataques rusos, la próxima jugada en el libro de jugadas del actor de amenazas cibernéticas ruso sería el despliegue de ataques estilo limpiaparabrisas, posiblemente contra infraestructura crítica y objetivos gubernamentales”.
SSC está poniendo a disposición IoC asociados con la botnet Zhadnost a pedido; hay más detalles disponibles en su blog.