Последний анализ вредоносного ПО Wiper, нацеленного на десятки украинских агентств в начале этого месяца, выявил «стратегическое сходство» с NotPetya вредоносная программа это было развязано против инфраструктуры страны и в других местах в 2017 году.
Вредоносная программа, получившая название шепчгейт, была обнаружена Microsoft на прошлой неделе, которая заявила, что наблюдала за разрушительной киберкампанией, направленной против государственных, некоммерческих и информационных технологий в стране, приписывая вторжения возникающему кластеру угроз под кодовым названием «DEV-0586».
«Хотя WhisperGate имеет некоторое стратегическое сходство с печально известным вайпером NotPetya, который атаковал украинские организации в 2017 году, включая маскировку под программу-вымогатель и нацеливание и уничтожение основной загрузочной записи (MBR) вместо ее шифрования, он, в частности, имеет больше компонентов, предназначенных для нанесения дополнительного ущерба, Циско Талос — сказал в отчете с подробным описанием его ответных мер.
Заявив, что украденные учетные данные, вероятно, использовались в атаке, компания по кибербезопасности также указала, что злоумышленник имел доступ к некоторым сетям жертв за несколько месяцев до того, как произошло проникновение, что является классическим признаком изощренных APT-атак.
Цепочка заражения WhisperGate представляет собой многоэтапный процесс, в ходе которого загружается полезная нагрузка, стирающая основную загрузочную запись (MBR), затем загружает вредоносный DLL-файл, размещенный на сервере Discord, который сбрасывает и выполняет другую полезную нагрузку очистки, которая безвозвратно уничтожает файлы, перезаписывая их содержимое фиксированными данными на зараженных хостах.
Выводы поступили через неделю после примерно 80 украинских сайты государственных органов были испорчены, а украинские спецслужбы подтвердили, что инциденты-близнецы являются частью волна вредоносных действий на его критически важную инфраструктуру, а также отметив, что атаки использовали недавно обнаруженные уязвимости Log4j для получения доступа к некоторым из скомпрометированных систем.
«Россия использует страну как испытательный полигон для кибервойн — лабораторию для совершенствования новых форм глобальной онлайн-войны», — Энди Гринберг из Wired. отметил, в подробном обзоре 2017 года об атаках, направленных на ее энергосистему в конце 2015 года и вызвавших беспрецедентные отключения электроэнергии.
«Системы в Украине сталкиваются с проблемами, которые могут не относиться к системам в других регионах мира, и необходимо применять дополнительные меры защиты и предосторожности», — заявили исследователи Talos. «Убедиться, что эти системы исправлены и усилены, имеет первостепенное значение для смягчения угроз, с которыми сталкивается регион».
Источник: https://thehackernews.com/2022/01/experts-find-strategic-similarities-bw.html
