烏克蘭政府網站、銀行再遭DDoS、資料刪除程式攻擊

俄羅斯與烏克蘭瀕臨戰爭爆發邊緣，繼上周的大規模分散式阻斷服務（DDoS）攻擊事件後，烏克蘭政府昨（2/23）日公告，多個政府及金融機構又再一次遭遇大規模DDoS攻擊。此外，安全廠商ESET也發現烏克蘭數百臺機器被植入資料刪除程式（wiper）。

烏克蘭國家特別通訊與資訊防護服務（State Service of Special Communications and Information Protection）說明，在遭到攻擊的網站中，有些系統因為將攻擊流量導向外部雲端業者，而暫時無法使用或服務時斷時續，另一些則得以成功抵禦攻擊維持正常運作。烏克蘭主管機關已著手調查，並呼籲確定或疑似遭攻擊的單位通報。

烏國當局沒有說明被攻擊的是哪些單位，不過安全廠商NetBlocks指出，該國外交、國防、內政部、特勤局及內閣網站發生網站中斷，疑似與最新的DDoS攻擊有關。此外，上周被DDoS攻擊的烏國國營銀行PrivatBank及儲蓄銀行Oschadbank網站，又再一次遇襲斷線。

圖片來源／NetBlocks

圖片來源／NetBlocks

非營利組織NPR報導事件是發生周三下午4:00左右。

烏克蘭網路事件與回應（CERT）小組指出，這波攻擊是利用殭屍網路程式Mirai及Meris入侵路由器及其他IoT裝置，由3萬個IP位址發動連線攻擊。安全業者360 Netlab分析，操控Mirai攻擊的C&C 伺服器位於荷蘭。除了DDoS攻擊，還有大量釣魚簡訊、以及針對金融機構的釣魚郵件攻擊。烏國CERT指出，釣魚郵件是由宣佈獨立的頓內次克地區一名人士發送。

安全廠商ESET則在昨日下午發現，在DDoS攻擊後，烏克蘭數百臺機器被植入資料刪除程式，不過並未說明受害者身分或產業。由於這隻程式是使用給Hermetica Digital公司的合法憑證簽發，因此該公司將之命名為HermeticWiper。

ESET指出，HermeticWiper濫用硬碟分割軟體EaseUS Partition Master的合法驅動程式，先毁損資料再將受害電腦重新開機。在其分析的一項案例中，這隻wiper程式是經由預設的網域GPO植入系統，意謂攻擊者可能已經接管受害機構的AD伺服器。

ZDNet引述資安專家Christian Sorensen指出，本波攻擊應不致產生重大破壞，這個階段的攻擊旨在引發人心浮動及信心危機，但下階段攻擊將會更破壞性，並持續阻撓其他國家插手。

由於烏克蘭與前蘇聯國家為唇亡齒寒的相依關係，立陶宛、愛沙尼亞、波蘭及荷蘭等12國資安專家於本周二宣布合組網路迅速回應小組，以協助烏克蘭因應來自俄羅斯的攻擊。

雖然這次烏克蘭及資安廠商都未說明攻擊主謀，但本周美國及英國點名俄羅斯情報指揮中心GRU，為上周DDoS的幕後指使者。