Η πιο πρόσφατη ανάλυση του κακόβουλου λογισμικού υαλοκαθαριστήρων που στόχευε δεκάδες ουκρανικά πρακτορεία νωρίτερα αυτόν τον μήνα αποκάλυψε «στρατηγικές ομοιότητες» με Κακόβουλο λογισμικό NotPetya που εξαπολύθηκε κατά των υποδομών της χώρας και αλλού το 2017.
Το κακόβουλο λογισμικό, μεταγλωττισμένο ψιθυρίζω, ανακαλύφθηκε από τη Microsoft την περασμένη εβδομάδα, η οποία είπε ότι παρατήρησε την καταστροφική εκστρατεία στον κυβερνοχώρο που στόχευε κυβερνητικές, μη κερδοσκοπικές οντότητες και οντότητες τεχνολογίας πληροφοριών στη χώρα, αποδίδοντας τις εισβολές σε ένα αναδυόμενο σύμπλεγμα απειλών με την κωδική ονομασία "DEV-0586".
«Ενώ το WhisperGate έχει κάποιες στρατηγικές ομοιότητες με τον περιβόητο υαλοκαθαριστήρα NotPetya που επιτέθηκε σε ουκρανικές οντότητες το 2017, συμπεριλαμβανομένου του μεταμφιεσμένου ως ransomware και της στόχευσης και καταστροφής του κύριου αρχείου εκκίνησης (MBR) αντί να το κρυπτογραφήσει, έχει κυρίως περισσότερα στοιχεία σχεδιασμένα να προκαλούν πρόσθετη ζημιά. ” Cisco Talos είπε σε μια έκθεση που περιγράφει λεπτομερώς τις προσπάθειες ανταπόκρισής της.
Δηλώνοντας ότι κλεμμένα διαπιστευτήρια πιθανότατα χρησιμοποιήθηκαν στην επίθεση, η εταιρεία κυβερνοασφάλειας επεσήμανε επίσης ότι ο παράγοντας της απειλής είχε πρόσβαση σε ορισμένα από τα δίκτυα των θυμάτων μήνες πριν πραγματοποιηθούν οι διεισδύσεις, ένα κλασικό σημάδι περίπλοκων επιθέσεων APT.
Η αλυσίδα μόλυνσης WhisperGate έχει διαμορφωθεί ως μια διαδικασία πολλαπλών σταδίων που κατεβάζει ένα ωφέλιμο φορτίο που διαγράφει την κύρια εγγραφή εκκίνησης (MBR), στη συνέχεια κατεβάζει ένα κακόβουλο αρχείο DLL που φιλοξενείται σε έναν διακομιστή Discord, ο οποίος απορρίπτει και εκτελεί ένα άλλο ωφέλιμο φορτίο υαλοκαθαριστήρα που καταστρέφει αμετάκλητα τα αρχεία αντικαθιστώντας το περιεχόμενό τους με σταθερά δεδομένα στους μολυσμένους κεντρικούς υπολογιστές.
Τα ευρήματα έρχονται μια εβδομάδα μετά από περίπου 80 Ουκρανούς ιστοσελίδες κυβερνητικών υπηρεσιών παραμορφώθηκαν, με τις ουκρανικές υπηρεσίες πληροφοριών να επιβεβαιώνουν ότι τα δίδυμα περιστατικά αποτελούν μέρος του α κύμα κακόβουλων δραστηριοτήτων στοχεύοντας την κρίσιμη υποδομή του, ενώ σημείωσε επίσης ότι οι επιθέσεις αξιοποίησαν τα τρωτά σημεία Log4j που αποκαλύφθηκαν πρόσφατα για να αποκτήσουν πρόσβαση σε ορισμένα από τα παραβιασμένα συστήματα.
"Η Ρωσία χρησιμοποιεί τη χώρα ως πεδίο δοκιμών στον κυβερνοχώρο - ένα εργαστήριο για την τελειοποίηση νέων μορφών παγκόσμιας διαδικτυακής μάχης", ο Andy Greenberg του Wired Σημειώνεται σε μια βαθιά κατάδυση του 2017 σχετικά με τις επιθέσεις που στόχευσαν στο ηλεκτρικό της δίκτυο στα τέλη του 2015 και προκάλεσαν άνευ προηγουμένου μπλακ άουτ.
«Τα συστήματα στην Ουκρανία αντιμετωπίζουν προκλήσεις που μπορεί να μην ισχύουν για εκείνα σε άλλες περιοχές του κόσμου και πρέπει να εφαρμοστούν επιπλέον μέτρα προστασίας και προφύλαξης», δήλωσαν οι ερευνητές του Talos. «Το να διασφαλίσουμε ότι αυτά τα συστήματα είναι και διορθωμένα και σκληρυμένα είναι υψίστης σημασίας για να βοηθήσουμε στον μετριασμό των απειλών που αντιμετωπίζει η περιοχή».
Πηγή: https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html
