تم اكتشاف برنامج ضار WhisperGate تم اكتشافه مؤخرًا من قبل مجموعة تهديد غير معروفة سابقًا في هجمات إلكترونية ضد أوكرانيا
حذرت مايكروسوفت يوم السبت من استخدام برنامج ضار جديد مدمر في هجمات إلكترونية ضد الحكومة الأوكرانية.
وصفها ممسحة سجل التمهيد الرئيسي (MBR) ، تقول Microsoft إن البرنامج الضار يتم تنفيذه عندما يتم إيقاف تشغيل جهاز متأثر ويتنكر على أنه برنامج فدية - لكنه يفتقر إلى آلية استرداد الفدية ويقصد به أن يكون أجهزة مدمرة ومستهدفة.
يقول عملاق التكنولوجيا إن البرامج الضارة ، والتي تشير إليها على أنها "ويسبرجيت"، ظهرت لأول مرة على أنظمة الضحايا في أوكرانيا في 13 يناير 2022 واستهدفت منظمات متعددة ، جميعها في أوكرانيا.
بينما تقول Microsoft إنها لم تعثر على أي ارتباطات ملحوظة بين النشاط المرصود (الذي تتبعه على أنه ديف-0586) ومجموعات التهديد الأخرى المعروفة ، أوكرانيا قال الأحد أن لديه "دليل" أن روسيا كانت وراء الهجمات.
خبير الأمن السيبراني من القطاع الخاص في كييف وقال لوكالة اسوشيتد برس أن المهاجمين اخترقوا الشبكات الحكومية من خلال مورد برمجيات مشترك في هجوم لسلسلة التوريد.
قالت Microsoft في تقرير "في الوقت الحالي واستناداً إلى رؤية Microsoft ، حددت فرق التحقيق لدينا البرامج الضارة في عشرات الأنظمة المتأثرة ويمكن أن يزداد هذا العدد مع استمرار تحقيقنا" بلوق وظيفة. "تغطي هذه الأنظمة العديد من المنظمات الحكومية وغير الربحية ومؤسسات تكنولوجيا المعلومات ، وكلها مقرها في أوكرانيا."
شارك مركز معلومات التهديدات لـ Microsoft (MSTIC) التكتيكات والتقنيات والإجراءات (TTPs) ، جنبًا إلى جنب مع مؤشرات التسوية (IOC) المتعلقة بالهجمات.
[ فيديو: جون لامبرت من Microsoft حول تحسين مشاركة المعلومات في مجال الأمن السيبراني ]
أضافت Microsoft: "لا نعرف المرحلة الحالية من الدورة التشغيلية لهذا المهاجم أو عدد منظمات الضحايا الأخرى التي قد تكون موجودة في أوكرانيا أو في مواقع جغرافية أخرى". "ومع ذلك ، فمن غير المرجح أن تمثل هذه الأنظمة المتأثرة النطاق الكامل للتأثير كما تقوم المنظمات الأخرى بالإبلاغ."
وقالت خدمة الأمن في أوكرانيا إن الهجمات استهدفت 70 موقعا حكوميا على الأقل.
قال كالفن جان ، المدير الأول للدفاع التكتيكي في شركة F-Secure SecurityWeek. "WhisperGate أو DEV-0586 كما تسميه Microsoft لهما تشابه مماثل لـ NotPetya تم اكتشافه مرة أخرى في عام 2017 وهو أيضًا برنامج ضار ممسحة متخفي في صورة برنامج رانسوم وير. شل NotPetya في ذلك الوقت العديد من الشركات في أوكرانيا وفرنسا وروسيا وإسبانيا والولايات المتحدة. ثم هناك أيضًا مجموعة Agrius التي تتبعها باحثون من SentinelOne الذين استخدموا مؤخرًا أيضًا برامج ضارة للممسحات في مؤسساتهم المستهدفة في الشرق الأوسط ".
وتعليقًا على الطبيعة المدمرة للبرامج الضارة ، يذكر Gan أن الكتابة فوق MBR ستجعل الجهاز غير قابل للتمهيد ، مما يجعل الاسترداد مستحيلًا خاصةً عندما تقوم البرامج الضارة أيضًا بالكتابة فوق محتويات الملف قبل الكتابة فوق MBR.
قال غان: "في حين أن نية المهاجم الحقيقية لنشر برنامج الفدية الممسحة إلى جانب مفسد الملفات غير معروفة في الوقت الحالي ، فإن استهدافها للوكالات الحكومية والمؤسسات المرتبطة بها هو علامة على أنهم يريدون إيقاف العمليات في هذه المنظمات على الفور. ربما يكون عنوان محفظة Bitcoin وقناة الاتصال في مذكرة الفدية الخاصة بـ WhisperGate عبارة عن شاشة دخان لصرف الانتباه عن نية المهاجم الحقيقية للهجوم مع جعل تعقبهم أمرًا صعبًا ".
لأكثر من 10 سنوات ، كان مايك لينون يراقب عن كثب مشهد التهديدات ويحلل الاتجاهات في مجال الأمن القومي والأمن السيبراني للمؤسسات. من خلال دوره في SecurityWeek ، يشرف على التوجيه التحريري للنشر وهو مدير العديد من المؤتمرات الرائدة في مجال الأمن حول العالم.
الوسوم (تاج): 
