Phần mềm độc hại WhisperGate mới được phát hiện đang được sử dụng bởi nhóm mối đe dọa chưa từng biết trước đây trong các cuộc tấn công mạng chống lại Ukraine
Hôm thứ Bảy, Microsoft đã cảnh báo về một phần mềm độc hại mới, có tính chất phá hoại được sử dụng trong các cuộc tấn công mạng nhằm vào chính phủ Ukraine.
Được mô tả bằng trình gạt Master Boot Record (MBR), Microsoft cho biết phần mềm độc hại này được thực thi khi một thiết bị bị ảnh hưởng bị tắt nguồn và tự ngụy trang thành ransomware — nhưng thiếu cơ chế khôi phục tiền chuộc và nhằm mục đích phá hoại và nhắm mục tiêu vào các thiết bị.
Gã khổng lồ công nghệ cho biết phần mềm độc hại, mà nó gọi là “Cổng Thì Thầm”, Lần đầu tiên xuất hiện trên các hệ thống nạn nhân ở Ukraine vào ngày 13 tháng 2022 năm XNUMX và nhắm mục tiêu vào nhiều tổ chức, tất cả đều ở Ukraine.
Mặc dù Microsoft cho biết họ không tìm thấy bất kỳ mối liên hệ đáng chú ý nào giữa hoạt động được quan sát (mà nó theo dõi là DEV-0586) và các nhóm mối đe dọa đã biết khác, Ukraine Chủ nhật cho biết nó có "bằng chứng" rằng Nga đứng sau các cuộc tấn công.
Một chuyên gia an ninh mạng khu vực tư nhân ở Kyiv nói với Associated Press rằng những kẻ tấn công đã thâm nhập vào mạng của chính phủ thông qua một nhà cung cấp phần mềm dùng chung trong một cuộc tấn công chuỗi cung ứng.
"Hiện tại và dựa trên khả năng hiển thị của Microsoft, các nhóm điều tra của chúng tôi đã xác định được phần mềm độc hại trên hàng chục hệ thống bị ảnh hưởng và con số đó có thể tăng lên khi cuộc điều tra của chúng tôi tiếp tục", Microsoft cho biết trong một blog đăng bài. “Các hệ thống này trải dài trên nhiều tổ chức chính phủ, phi lợi nhuận và công nghệ thông tin, tất cả đều có trụ sở tại Ukraine.”
Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) đã chia sẻ các chiến thuật, kỹ thuật và quy trình (TTP), cùng với các chỉ số về sự xâm phạm (IOC) liên quan đến các cuộc tấn công.
[ BĂNG HÌNH: John Lambert của Microsoft về Chia sẻ thông tin tốt hơn trong an ninh mạng ]
“Chúng tôi không biết giai đoạn hiện tại của chu kỳ hoạt động của kẻ tấn công này hoặc có bao nhiêu tổ chức nạn nhân khác có thể tồn tại ở Ukraine hoặc các vị trí địa lý khác,” Microsoft nói thêm. “Tuy nhiên, không chắc những hệ thống bị ảnh hưởng này đại diện cho toàn bộ phạm vi tác động như các tổ chức khác đang báo cáo.”
Dịch vụ an ninh SBU của Ukraine cho biết các cuộc tấn công đã nhằm vào ít nhất 70 trang web của chính phủ.
“Sự tồn tại của phần mềm độc hại gạt nước được ngụy trang dưới dạng ransomware không phải là mới,” Calvin Gan, Giám đốc cấp cao, Phòng chiến thuật tại F-Secure, nói Bảo mật. “WhisperGate hoặc DEV-0586 như Microsoft gọi nó có điểm tương đồng với Notpyetya được phát hiện vào năm 2017, đây cũng là một phần mềm độc hại được ngụy trang dưới dạng ransomware. NotPetya vào thời điểm đó đã làm tê liệt nhiều công ty ở Ukraine, Pháp, Nga, Tây Ban Nha và Mỹ. Sau đó, còn có nhóm Agrius được theo dõi bởi các nhà nghiên cứu từ SentinelOne, những người gần đây cũng đã sử dụng phần mềm độc hại gạt nước vào các tổ chức mục tiêu của họ ở Trung Đông. "
Nhận xét về bản chất phá hoại của phần mềm độc hại, Gan nhắc rằng ghi đè MBR sẽ khiến máy không thể khởi động được, khiến việc khôi phục không thể thực hiện được, đặc biệt khi phần mềm độc hại cũng ghi đè nội dung tệp trước khi ghi đè MBR.
Gan cho biết: “Mặc dù ý định thực sự của kẻ tấn công trong việc triển khai ransomware cùng với phần mềm làm hỏng tệp tin hiện chưa được biết đến. Có lẽ, địa chỉ ví bitcoin và kênh liên lạc trong ghi chú đòi tiền chuộc của WhisperGate là một màn khói để chuyển hướng sự chú ý về ý định thực sự của kẻ tấn công trong khi khiến việc theo dõi chúng trở nên khó khăn hơn ”.
Trong hơn 10 năm, Mike Lennon đã theo dõi chặt chẽ bối cảnh các mối đe dọa và phân tích các xu hướng trong An ninh Quốc gia và không gian an ninh mạng doanh nghiệp. Trong vai trò của mình tại SecurityWeek, ông giám sát chỉ đạo biên tập của ấn phẩm và là Giám đốc của một số hội nghị hàng đầu về ngành bảo mật trên thế giới.
tags: Nguồn: https://www.securityweek.com/microsoft-uncovers-destructive-malware-used-ukraine-cyberattacks
