این عامل تهدید که کارشناسان آن را وابسته به روسیه می دانند، اخیرا حملاتی علیه سازمان های مربوط به بهداشت و درمان در کشورهای اروپایی را انجام داده است. KillNet از DDos به عنوان ابزار اصلی حمله خود استفاده می نماید و دلیل استفاده از آن نیز کم هزینه بودن آن برای ایجاد اختلال در سرویس ها و وب سایت های آنلاین می باشد.
این گروه هکری که وابسته به دولت روسیه می باشد، در ماه های اول درگیری روسیه و اوکراین فعالیت های خود را آغاز کرد و با ادامه دار شدن جنگ، حملاتی را با تمرکز بر آسیب رساندن به زیرساخت های حیاتی و سرویس های دولتی ضد حامیان اوکراین از جمله کشورهای عضو ناتو انجام داد.
حملات KillNet از ابزارها و استراتژی های پیچیده استفاده نمی کند.درحالی که حملات DDoS معمولا با اخاذی همراه است اما حملات KillNet شامل درخواست باج نمی شود و در بیشتر موارد فقط باعث خرابی و اختلال کوتاه مدت در سیستم های قربانی می شود.نکته قابل توجه در حملات DDoS عدم نیاز مهاجم برای دسترسی به شبکه هدف برای نصب بدافزار می باشد و هدف اصلی آن صرفا با استفاده از درخواست های malicious connection ، آسیب رساندن به سیستم قربانی می باشد.
براساس بررسی های صورت گرفته، حملات DDoS مربوط به KillNet در درجه اول وب اپلیکیشن ها و TCP , UDP را هدف قرار می دهد.با بررسی های بیشتر الگوی دیگر این حملات، استفاده از TCP connection در فواصل زمانی کوتاه برای آسیب رساندن به منابع CPU قربانی می باشد.
KillNet با استفاده از اسکریپت های DDoS ،stressors استفاده از Botnet و استفاده از spoofed attack sources می تواند به راحتی برای وب سایت ها و برنامه های هدف خود اختلال ایجاد کرده و به آنها آسیب برساند.
KillNet دارای یک سلسله مراتب سازمانی ساختار یافته می باشد و براساس یافته های کارشناسان، با گروه های دیگر روسی همچون XakNet همکاری داشته است.
راه هایی برای کاهش این خطر پذیری
- طراحی Application ها با در نظر گرفتن بروز حملات DDoS برای آنها
- ایجاد یک طرح برای پاسخ به حملات DDoS
- مسدود سازی برنامه های اجرایی به جز برنامه های قابل اعتماد
روش های تشخیص این حمله
در صورت استفاده از راهکار شناسایی و پاسخ در نقطه پایانی (XDR) و تحلیل فعالیت های مرتبط، هشدارهای زیر مشاهده می گردد:
مشاهده حملات مشکوک DDos
این تهدید از تکنیک های زیر که در جدول مایتراتک موجود می باشد استفاده نموده است.
شرکت مهندسی امن ارتباط سینداد کلیه IOA و IOC های مرتبط با تشخیص این حمله را به سامانه های خود افزوده است.
Reconnaissance | Resource Development | Credential Access | Impact |
Active Scanning | Acquire Infrastructure | Adversary-in-the-Middle | Account Access Removal |
Gather Victim Host Information | Compromise Accounts | Brute Force | Data Destruction |
Gather Victim Identity Information | Compromise Infrastructure | Credentials from Password Stores | Data Encrypted for Impact |
Gather Victim Network Information | Develop Capabilities | Exploitation for Credential Access | Data Manipulation |
Gather Victim Org Information | Establish Accounts | Forced Authentication | Defacement |
Phishing for Information | Obtain Capabilities | Forge Web Credentials | Disk Wipe |
Search Closed Sources | Stage Capabilities | Input Capture | Endpoint Denial of Service |
Search Open Technical Databases | Modify Authentication Process | Firmware Corruption | |
Search Open Websites/Domains | Multi-Factor Authentication Interception | Inhibit System Recovery | |
Search Victim-Owned Websites | Multi-Factor Authentication Request Generation | Network Denial of Service | |
Network Sniffing | Resource Hijacking | ||
OS Credential Dumping | Service Stop | ||
Steal Application Access Token | System Shutdown/Reboot | ||
Steal or Forge Authentication Certificates | |||
Steal or Forge Kerberos Tickets | |||
Steal Web Session Cookie | |||
Unsecured Credentials | |||