Un ataque de denegación de servicio distribuido (DDoS) contra los sitios web del Ministerio de Asuntos Exteriores y Defensa de Finlandia fue obra de una botnet recientemente descubierta llamada Zhadnost y probablemente fue orquestada por actores rusos o prorrusos, según la amenaza SecurityScorecard (SSC). investigadores
El ciberataque tuvo lugar el viernes 8 de abril, al mismo tiempo que el presidente ucraniano, Volodymyr Zelensky, estaba dando un discurso virtual a los miembros del parlamento finlandés, y solo unas horas después de una supuesta violación del espacio aéreo finlandés por parte de un avión ruso Ilyushin IL-96-300. avión – no se sabe si se trataba de un avión militar, aunque se sabe que el gobierno ruso utiliza este modelo como tal.
Los analistas de SSC señalaron que el ataque cibernético duró más de cuatro horas y se lanzó desde más de 350 direcciones IP únicas de todo el mundo, pero principalmente desde bots en Bangladesh y África. La mayoría de ellos, el 82 %, eran enrutadores MikroTik (MikroTik es un fabricante de hardware de firewall y enrutamiento con sede en Letonia que se enfoca en los mercados emergentes), el resto era una combinación de dispositivos Apache, Squid Proxy y Caddy Server.
Ryan Slaney de SSC dijo que, lamentablemente, los enrutadores MikroTik contienen una «variedad de vulnerabilidades» que hacen que su base instalada sea una herramienta particularmente útil para los atacantes. Se cree que alrededor de 875.000 unidades están en servicio, lo que representa potencialmente un «número casi infinito» de bots, dijo.
«La arquitectura de estos bots es casi idéntica a la de la red de bots Zhadnost, que fue responsable de tres ataques DDoS separados en sitios web financieros y gubernamentales de Ucrania antes y poco después de la invasión rusa de Ucrania», escribió Slaney en una nota informativa.
“El ataque a Finlandia es idéntico al primer ataque a Ucrania llevado a cabo el 15 de febrero. Ambos ataques consistieron en inundaciones de HTTPS y se basaron en dispositivos MikroTik, Squid Proxy y Apache para llevar a cabo el ataque.
«Con los más de 350 bots que identificamos en esta campaña, SSC ahora tiene conocimiento de casi 3350 bots que componen la red de bots Zhadnost».
Un efecto secundario de la guerra del presidente ruso, Vladimir Putin, contra Ucrania ha sido solidificar la alianza occidental de la OTAN y alentar a los países previamente neutrales, incluidos Finlandia y Suecia, a acelerar la membresía de la alianza. Mantener a estos dos países fuera de la OTAN ha sido durante mucho tiempo un objetivo de la política exterior rusa.
El SSC cree que el ataque cibernético fue motivado por la candidatura de Finlandia para ingresar en la OTAN y tiene una confianza moderada en que fue obra de un actor afiliado a Rusia, aunque no proporciona una atribución exacta.
El ataque tuvo poco impacto duradero y ambos sitios fueron restaurados rápidamente. SSC cree que el operador de la botnet estaba al tanto de esto y pretendía que la acción fuera una demostración de fuerza en lugar de un intento de causar un daño duradero.
Aún así, Slaney insinuó que el ataque DDoS contra el gobierno finlandés podría presagiar más acciones dependiendo de cómo se desarrolle la membresía propuesta de Finlandia en la OTAN. Él dijo: «Basado en la historia de los ataques rusos, la siguiente pieza en el libro de jugadas de los actores rusos de amenazas cibernéticas sería implementar ataques estilo limpiaparabrisas, potencialmente contra infraestructura crítica y objetivos gubernamentales».
SSC proporciona IoC asociados con la botnet Zhadnost a pedido; hay más detalles disponibles en su blog.
