'Killnet'-modstander Pummels Litauen med DDoS-angreb over blokade

Det russisk-tilknyttede cyberkollektiv Killnet har påtaget sig ansvaret for DDoS-angreb mandag på den litauiske regering og andre enheder i det baltiske land over lukning af transitruter inden for den russiske eksklave Kaliningrad, ifølge forskere. Trusselsgruppen advarer om, at den vil fortsætte angrebene, indtil problemet er løst.

Mandag advarede Litauens nationale cybersikkerhedscenter (NKSC) under det nationale forsvarsministerium om intense og igangværende DDoS-angreb mod Litauens sikre nationale dataoverførselsnetværk samt andre statslige institutioner og private virksomheder i landet.

Angrebene - som regeringen forventer vil være igangværende såvel som rettet mod anden kritisk infrastruktur i Litauen - forstyrrede adgangen til tjenester for brugere af det sikre datanetværk, sagde NKSC i en offentlig udtalelse.

"Det er højst sandsynligt, at sådanne eller endnu mere intense angreb vil fortsætte i de kommende dage, især mod kommunikations-, energi- og finanssektoren," sagde Jonas Skardinskas, fungerende NKSC-direktør og leder af afdelingen for cybersikkerhedsstyring, i en erklæring.

Motivation til angreb

Russisk-baserede Killnet iværksatte tilsyneladende angrebene som svar på den litauiske regerings meddelelse den 18. juni om, at den ville lukke ruter mellem det baltiske land og den russiske ekklave Kaliningrad til transport af stål og andre metaller, ifølge Flashpoint, som offentliggjorde et blog-indlæg af Flashpoint-holdet om angrebene mandag.

"Disse togruter er ifølge den russiske regering afgørende for at bringe mindst halvdelen af ​​ekklavens import ind, hvilket får russiske embedsmænd til at stemple flytningen som en 'blokade' og advare om en hård gengældelse," skrev en talsmand for Flashpoint i en e-mail til Threatpost.

I mellemtiden har Litauen begrundet lukningen som et nødvendigt krav for at opfylde forpligtelserne i EU's (EU) sanktioner mod Rusland for dets invasion af Ukraine i slutningen af ​​februar, hvor krigen er i gang.

På sin Telegram-kanal hævdede Killnet, at det ville stoppe angrebene, så snart den litauiske regering genindsætter transitruter med Kaliningrad, ifølge Flashpoint.

En talsmand for Killnet-gruppen også fortalt Reuters planlægger at fortsætte angrebene, indtil blokaden er ophævet, og tilføjer, at den allerede har "nedrivet 1652 webressourcer - og det er bare så langt."

Cyberangreb som politisk våben

Der var en vis advarsel forud for angrebene om, at de var nært forestående, ifølge Flashpoint. Faktisk har DDoS-angreb været et typisk valgvåben for russiske cyberaktører siden Ruslands invasion af Ukraine, hvor russiske trusselsaktører har brugt dem begge før krigen på jorden startede , efter sideløbende med andre cyberangreb at støtte militære operationer. Alene i år har Killnet angiveligt allerede målrettet Rumænien, Moldova, Tjekkiet og Italiensk vin med cyberangreb.

"Den 25. juni observerede Flashpoint-analytikere snak om en plan for et massekoordineret angreb, der skulle finde sted den 27. juni, som Killnet omtalte som 'dommedag'," skrev forskere i indlægget. Set i bakspejlet sagde de, at denne samtale sandsynligvis var en reference til mandagens angreb.

Flashpoint-forskere observerede også mindre angreb før mandag, inklusive et, der fandt sted den 22. juni, sagde de. Dette ser ud til at understøtte Killnets påstand om, at angrebene var som gengældelse for lukningen af ​​transitruter til Kaliningrad, skrev forskere.

Det ser også ud til, at Killnet bruger angrebene mod litauisk som et bevisgrundlag for nye værktøjer og taktikker og endda kan forberede sig på at slå sig sammen med Conti ransomware-banden, ifølge Flashpoint.

I et indlæg fra 26. juni betegnede Killnet Litauen som en "prøveplads for vores nye færdigheder" og nævnte, at deres "venner fra Conti" er ivrige efter at kæmpe. Denne parring ville give mening, da begge grupper allerede havde udtrykt troskab til Rusland i begyndelsen af ​​gruppens invasion af Ukraine, sagde forskere.

Uanset hvad, det er klart nu, at cyberangreb vil blive brugt som et hyppigt våben – omend ikke nødvendigvis et dødbringende – for verdens militærmagter, enten sideløbende med en fysisk krig eller for at støtte en politisk holdning, bemærkede en sikkerhedsprofessionel.

"Enhver betydelig militær magt i verden har udviklet cyberkapaciteter [der] har udviklet sig fra spionageværktøjer til fuldgyldige våben, der skal bruges som en del af en koordineret militær reaktion," bemærkede Chris Clymer, direktør og CISO for Inversion6, i en e-mail til Threatpost. "At målrette mod et andet land med disse er uden tvivl en krigshandling, men en mindre alvorlig end kinetiske angreb med missiler og kampvogne. Denne chikane vil fortsætte."