Akteri pretnji lojalni Kremlju pojačali su napade u znak podrške njegovoj invaziji na Ukrajinu, sa napadima uskraćivanja usluge koji pogađaju nemačke banke i druge organizacije i oslobađanjem novog destruktivnog alata za brisanje podataka o Ukrajini.
Nemačka agencija BSI, koja prati sajber bezbednost u toj zemlji, saopštila je da su napadi izazvali male prekide rada, ali da su na kraju napravili malu štetu.
„Trenutno, neke veb stranice nisu dostupne“, navodi BSI u izjavi novinskim agencijama. „Trenutno nema naznaka direktnih efekata na dotičnu službu i, prema proceni BSI, to se ne može očekivati ako se preduzmu uobičajene zaštitne mere.
Činilo se da su distribuirani napadi uskraćivanja usluge, koji se obično nazivaju DDoSes, odmazda za odluku nemačke vlade da dozvoli isporuku svojih naprednih tenkova Leopard 2 Ukrajini. Istraživači bezbednosne firme Cado Labs rekli su u sredu da su grupe na ruskom jeziku – uključujući i jednu koja sebe naziva Killnet – uputile pozive svojim članovima da pokrenu DDoS protiv meta u Nemačkoj. Kampanja, koja je počela u utorak pošto se odluka o tenkovima Leopard 2 činila imanentnom, koristila je hešteg #GermaniaRIP, što se prevodi kao „#GermaniRIP“.
Ubrzo su usledile poruke drugih grupa na ruskom jeziku koje su tvrdile da su napadnute na veb stranice velikih nemačkih aerodroma, uključujući Hamburg, Dortmund, Drezden i Diseldorf; Nemačka razvojna agencija GIZ; sajt nemačke nacionalne policije; Deutsche Bank; i onlajn sistem plaćanja Giropay. Nije bilo jasno da li je neki od napada uspešno zatvorio sajtove.
Druga grupa koja sebe naziva „Anonimny Sudan“, u međuvremenu, takođe je preuzela odgovornost za DDoS napade na veb stranice nemačke spoljne obaveštajne službe i kabineta Nemačke, u znak podrške Killnetu.
„Kao što smo videli tokom rusko-ukrajinskog rata, akteri sajber pretnji brzo reaguju na geopolitičke događaje i uspešni su u ujedinjenju i mobilizaciji grupa sa sličnim motivima“, napisali su istraživači Cado Labsa. „Zanimljivo je primetiti učešće grupe koja se smatra sudanskom verzijom Anonimusa, jer pokazuje sposobnost haktivističkih grupa na ruskom jeziku da sprovedu ovu mobilizaciju i saradnju na međunarodnom nivou.
Killnet se pojavio ubrzo nakon ruske invazije na Ukrajinu. Prošlog juna je preuzeo zasluge za ono što je litvanska vlada nazvala „intenzivnim“ DDoS-ovima na kritičnoj infrastrukturi zemlje, uključujući delove bezbedne nacionalne mreže za prenos podataka, koja pomaže u sprovođenju strategije Litvanije za osiguranje nacionalne bezbednosti u sajber prostoru. Diskusije na Killnet Telegram kanalu u to vreme su ukazivale da su napadi bili odmazda što je baltička vlada zatvorila tranzitne rute ka Rusiji ranije tog meseca.
U septembru je bezbednosna firma Mandiant saopštila da je otkrila dokaze da je Killnet imao indirektne veze sa Kremljom. Konkretno, istraživači Mandiant-a su rekli da je Killnet koordinirao neke od svojih aktivnosti sa grupom pod nazivom Ksaknet i da je Ksaknet, zauzvrat, koordinirao neke aktivnosti sa akterima pretnji iz ruske Glavne obaveštajne uprave, ili GRU.
U srodnim vestima, u petak su istraživači iz bezbednosne firme Eset izvestili da je još jedan akter pretnji koju podržava Kremlj, poznat kao Sandvorm, pokrenuo nikada ranije viđeni alat za brisanje podataka o ukrajinskim ciljevima. Destruktivni malver, nazvan SviftSlicer, napisan je u programskom jeziku Go i koristi nasumično generisane blokove od 4096 bajta za prepisivanje podataka.