Killnet – van DDos-service tot Hackerscollectief

Het voortdurende conflict tussen Oekraïne en Rusland heeft de aandacht getrokken van verschillende cybercriminele groepen die betrokken zijn geraakt bij deze (cyber)oorlog. Momenteel zijn meer dan 190 dreigingsactorengroepen actief tijdens de Oekraïne-Rusland cyberoorlog. Sommige groepen hebben zich geallieerd met één kant van het conflict en gebruiken hun vaardigheden om hun gekozen factie te ondersteunen. KillNet is één van de groepen die een belangrijke rol heeft gespeeld en staat bekend om haar DDoS-activiteiten in het belang van Rusland.

Killnet is een pro-Russische “hacktivistische” groep die actief aanvallen uitvoert tegen landen die Oekraïne steunen, vooral NAVO-landen, sinds het uitbreken van de oorlog tussen Rusland en Oekraïne vorig jaar. DDoS is hun belangrijkste vorm van cyberaanval die duizenden verbindingen en pakketten per minuut naar de doelserver of website kan sturen, waardoor kwetsbare systemen worden vertraagd of zelfs gestopt.

Hoewel de DDoS-aanvallen van Killnet meestal geen grote schade veroorzaken, kunnen ze wel serviceonderbrekingen veroorzaken die enkele uren of zelfs dagen kunnen duren. Het is bekend dat KillMilk, de oprichter van de groep, deze in juli 2022 heeft verlaten en dat de nieuwe leider een hacker is die de naam Blackside gebruikt. KillMilk heeft echter nog steeds banden met de groep en deelt Killnet’s aankondigingen op zijn Telegram-kanaal.

De stappen van Killnet

Tot aan de oorlog tussen Rusland en Oekraïne stond Killnet bekend als de naam van een DDoS-aanvalstool die alleen abonnees konden huren en gebruiken. Een soort van Netflix voor hackers. Met de crisis in Rusland en Oekraïne kwam Killnet naar voren als een hackersgroep en zette haar aanvallen voort onder de naam “Killnet“.

Sindsdien heeft de Killnet-hackersgroep vele aanvallen uitgevoerd ter ondersteuning van Rusland en om voor de belangen van Rusland te strijden. Ze richtten zich op landen die Oekraïne steunden in de oorlog tussen Rusland en Oekraïne. Sindsdien heeft de Killnet-groep landen aangevallen die Oekraïne steunen en verdedigen ze de politieke- en sociaaleconomische belangen van de Russische regering. Het lijkt erop dat ze niet geïnteresseerd zijn in financieel gewin, maar webdiensten willen schaden door deze, voornamelijk met DDoS-aanvallen, te verstoren.

Sinds februari 2022 heeft Killnet de volgende Europese en westerse landen aangevallen: De VS, het VK, Duitsland, Italië, Roemenië, Litouwen, Estland en Polen. De meest opvallende aanvallen waren gericht op Amerika

killnet telegram

Een screenshot van de Killnet groep in Telegram

Van jonge speler tot volwassen dreiging

De groep heeft zijn operaties meer dan een jaar voortgezet en is uitgegroeid tot een ernstige cyberdreiging. Met aanmoediging van Killnet service gebruikers, die tienduizenden abonnees bereikten, vormden ze subgroepen onder de naam “Cyber Special Forces of the Russian Federation”.

De groep begon ook een andere hackersgroep genaamd LEGION in april 2022 en zette zijn DDoS-aanvallen van daaruit voort. Andere groepen werden waargenomen onder de LEGION-groep, elk met verschillende aanvallen. In juli 2022 kondigde de groep aan dat LEGION was ontbonden en zou worden heropgestart als LEGION 2.0. Inmiddels worden er schattingen gemaakt dat er meer dan duizend groepsleden betrokken zijn bij deze aanvallen.

 

Killnet en zijn vrienden

Een groep die voorheen bekend stond als XakNet kondigde aan dat het een alliantie had gesloten met Killnet en haar pijlen gingen richten op kritieke infrastructuren. Een andere groep, later bekend als F**kNet, drukte ook zijn intentie uit om samen te werken met Killnet en zich met aanvallen te richten op de publieke en private sector in landen die Oekraïne steunen. Een voormalig lid van Killnet, nu de leider van de Zarya-groep, noemde in een interview ook andere hackersgroepen die parallel met hen werken en de belangen van Rusland verdedigen. Hij noemde groepen zoals XakNet, Beregini, CyberArmy, Anonymous Russia, RaHDit, DPR Joker, NoName057 en Zsecnet.

De hacker zei ook dat Anonymous Russia en de Zarya-groep werden opgericht door hackers die de Killnet-groep verlieten. Andere hackers sloten zich ook aan bij Zarya vanuit Killnet. In hetzelfde interview legde de leider van Zarya ook uit waarom Killnet werd verdeeld in kleinere groepen. Kleinere groepen zijn gemakkelijker te beheren en het is moeilijker voor de vijand om te begrijpen wie ze moeten aanvallen. Hij onthulde ook dat Zarya eerder deel uitmaakte van het Killnet-team, maar nu een onafhankelijke entiteit is.


Doelen en operaties van Killnet

Sinds februari 2022 heeft Killnet veel Europese en westerse landen aangevallen. Hierbij vallen aanvallen op Amerikaanse luchthavens, de Eurovisie-website en meer dan duizend websites in Litouwen het meest op. Er waren ook aanvallen op spoorwegen en overheidsportals in de Tsjechische Republiek.

Vanaf april 2022 richtte Killnet zich volledig op het ondersteunen van de geopolitieke belangen van Rusland wereldwijd. Ze beweerden meer dan 550 aanvallen te hebben uitgevoerd tussen eind februari en september. Slechts 45 van deze aanvallen waren gericht tegen Oekraïne, minder dan 10% van het totale aantal aanvallen.

Killnet plaatste een aankondiging op zijn Telegram-kanaal en vroeg alle hackers om hulp bij het gericht aanvallen van Polen. Ze zeiden dat verschillende doelwitten gedurende vier dagen buiten werking zouden zijn. Na deze aankondiging werden de luchthavens van Warschau, Gdansk en Rzeszow het slachtoffer van cyberaanvallen.

“De maandag in Polen begon met slecht weer – alle vluchten zijn geannuleerd “

Rootsec en Hacktivistische groepen

Hoe wij hier als IT-security partij mee omgaan heeft alles te maken met monitoring en constant op de hoogte blijven van nieuwe ontwikkelingen. Dit doen wij voornamelijk aan de hand van onze threat-hunting experts en onze technische oplossing Cynet. Deze XDR-oplossing monitort netwerken, endpoints en gebruikers op verdacht gedrag en handelingen. Zodoende kaderen wij zowel de externe- als ook de interne kant af. Dit combineren wij vervolgens met een 24/7 monitoringsdienst die door onszelf wordt gemanaged en die volledig op maat kan worden afgesteld. Hieruit blijkt ook weer dat er, wat ons betreft, geen standaardoplossingen bestaan.

Onze medewerkers zorgen ervoor dat ze constant op de hoogte blijven van bewegingen en nieuwe methodes van deze groepen. Zodra wij iets zien waarmee wij onze klanten kunnen helpen, wordt dit meteen doorgevoerd in Cynet en wordt het monitoringsteam hiervan op de hoogte gebracht.