Het bedrijf van Polis Trachonitis, Hermetica Digital Ltd, is door Amerikaanse onderzoekers betrokken bij een gegevensvernietigende cyberaanval die honderden computers in Oekraïne, Litouwen en Letland heeft getroffen.
De cyberaanval, die op woensdagavond ontdekt werd, enkele uren voordat Russische troepen Oekraïne binnenrolden, werd algemeen gezien als het openingssalvo van de invasie van Moskou.
De malware was ondertekend met een digitaal certificaat met de naam van Hermetica Digital erop, volgens de onderzoekers, van wie sommigen de kwaadaardige code "HermeticWiper" zijn gaan noemen vanwege de connectie.
Trachonitis vertelde Reuters dat hij niets met de aanval te maken had. Hij zei dat hij nooit om een digitaal certificaat heeft gevraagd en geen idee had dat er een aan zijn bedrijf was afgegeven.
Hij zei dat zijn rol in de videospelletjesindustrie alleen bestaat uit het schrijven van de tekst voor spelletjes die anderen in elkaar zetten.
"Ik schrijf niet eens de code - ik schrijf verhalen," zei hij, en hij voegde eraan toe dat hij zich niet bewust was van het verband tussen zijn bedrijf en de Russische inval, totdat een verslaggever van Reuters het hem donderdagmorgen vertelde.
"Ik ben maar een Cyprioot (...) Ik heb geen band met Rusland."
De omvang van de schade die de malware-aanval heeft aangericht was niet duidelijk, maar cyberbeveiligingsbedrijf ESET zei dat de kwaadaardige code op "honderden machines" geïnstalleerd was aangetroffen.
Westerse leiders waarschuwen al maanden dat Rusland destructieve cyberaanvallen tegen Oekraïne zou kunnen uitvoeren in de aanloop naar een invasie.
Vorige week zeiden Groot-Brittannië en de Verenigde Staten dat Russische militaire hackers achter een golf van verdeelde DDoS-aanvallen (Distributed Denial of Service) zaten, die Oekraïense bank- en overheidswebsites kortstondig offline hebben gehaald.
DIGITAAL CERTIFICAAT
Cyberspionnen stelen routinematig de identiteit van willekeurige onbekenden om serverruimte te huren, of kwaadwillige websites te registreren.
Het Hermetica Digital certificaat werd uitgegeven in april 2021, maar de tijdstempel op de kwaadaardige code zelf was 28 dec. 2021.
De onderzoekers van ESET zeiden in een blogbericht dat die data suggereerden dat "de aanval al enige tijd in de maak kan zijn."
Als de aanvallen, zoals door cyberbeveiligingsdeskundigen en Amerikaanse defensiefunctionarissen algemeen wordt aangenomen, door Russen zijn uitgevoerd, dan zijn de tijdstempels potentieel belangrijke gegevenspunten voor waarnemers die hopen te begrijpen wanneer het plan voor de invasie van Oekraïne samenkwam.
Het hoofd van het bedreigingsonderzoek van ESET, Jean-Ian Boutin, vertelde Reuters dat er verschillende manieren zijn waarop een kwaadwillende frauduleus aan een code signing certificaat kan komen.
"Ze kunnen het natuurlijk zelf verkrijgen, maar ze kunnen het ook op de zwarte markt kopen," zei Boutin.
"Als zodanig is het mogelijk dat de operatie verder teruggaat dan wij tot nu toe wisten, maar het is ook mogelijk dat de dreigingsactor dit code signing certificaat onlangs heeft verworven, alleen voor deze campagne."
Ben Read, directeur cyberspionage-analyse bij Mandiant, zei dat het mogelijk was dat een groep "zich voordoet als een bedrijf in de communicatie met een digitaal cert-verstrekkend bedrijf en een legitiem cert frauduleus aan hen uitgegeven krijgt."
Cyberbeveiligingsbedrijf Symantec zei dat organisaties in de financiële, defensie-, luchtvaart- en IT-dienstensector het doelwit waren geweest van de aanval van woensdag. DigiCert, het bedrijf dat het digitale certificaat heeft uitgegeven, heeft niet onmiddellijk gereageerd op een verzoek om commentaar.
Juan-Andres Guerrero-Saade, een cyberbeveiligingsonderzoeker bij digitaal beveiligingsbedrijf SentinelOne, zei dat het doel van de aanval duidelijk was: "Dit was bedoeld om schade aan te richten, uit te schakelen, een signaal af te geven en een ravage aan te richten."
