باج افزار WhisperGate دولت اوکراین را هدف قرار می دهد


1/5 - (1 امتیاز)

تیم‌ های امنیت سایبری مایکروسافت روز شنبه فاش کردند که شواهدی از یک عملیات بدافزار مخرب جدید با نام “WhisperGate” شناسایی کرده است که نهادهای دولتی، غیرانتفاعی و فناوری اطلاعات در اوکراین را در بحبوحه تنش‌ های ژئوپلیتیکی بین این کشور و روسیه هدف قرار می‌ دهد.

تام برت، معاون امنیت مشتری و اعتماد شرکت مایکروسافت، گفت: “WhisperGate اگر توسط مهاجم فعال شود، سیستم کامپیوتری آلوده را از کار می اندازد.” وی همچنین اضافه کرد که این بد افزار عملکردهای حیاتی یا واکنش اضطراری به خطر را مورد هدف قرار میدهد.

برت خاطرنشان کرد: همچنین در میان افرادی که تحت تأثیر بدافزار قرار گرفته اند، یک شرکت فناوری اطلاعات است که “وب سایت های مشتریان بخش عمومی و خصوصی، از جمله سازمان های دولتی که وب سایت های آن ها اخیراً خراب شده اند را مدیریت می کند.”

Computing Giant که برای اولین بار این WhisperGate را در 13 ژانویه شناسایی کرد، این حملات را به یک دسته بندی نوظهور با کد “DEV-0586” نسبت داد، دلیل این امر این بوده که این بد افزار بدون هیچ تداخلی در تاکتیک‌ ها و رویه‌ ها با دیگر گروه‌ های مستند شده قبلی عمل میکند. علاوه بر این، این بدافزار در ده‌ ها سیستم آسیب‌ دیده پیدا شده است که انتظار می‌ رود با ادامه تحقیقات، تعداد آن ها افزایش یابد.

با توجه به مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) و واحد امنیت دیجیتال مایکروسافت (DSU)، زنجیره حمله یک فرآیند دو مرحله‌ای است که شامل:

رونویسی Master Boot Record (MBR)، این بخش اولین بخش از هر دیسک سخت است که مشخص می کند سیستم عامل در کجای دیسک قرار دارد تا با استفاده از سیستم عامل آن را در RAM رایانه بارگذاری کند، بد افزار با استفاده ازین تکنیک روی سیستم قربانی یک یادداشت که در آن تقاضای پرداخت مبلغ 10000 دلار به کیف پول بیت کوین میکند، بارگذاری میکند.

بخش دوم که شامل فایلی است که وظیفه آن بازیابی بد افزار مخبری است که در کانال Discord میزبانی شده است .
این فایل برای جستجوی فایل ها با 189 پسوند مختلف طراحی شده است، سپس محتویات آنها را به طور غیرقابل برگشتی با تعداد ثابت بایت 0xCC بازنویسی می کند و نام هر فایل را با یک اسم 4 بایتی تصادفی عوض میکند.

به گفته مایکروسافت، این فعالیت مخرب با فعالیت باج‌ افزار مجرمان سایبری به دلایلی «ناسازگار» است، زیرا «مقدار پرداخت صریحا و آدرس‌های کیف پول دریافت باج به ندرت در یادداشت‌های باج افزار های مدرن مشخص می‌ شود» و «پیام درخواست باج در این مورد شامل شناسه سفارسی سیستم نمی‌ شود».

این اتفاقات در حالی صورت می‌ گیرد که بسیاری از وب‌ سایت‌های دولتی در اروپای شرقی روز جمعه با پیامی مبنی بر آپلود اطلاعات شخصی اوکراینی‌ ها در اینترنت مواجه شدند. سرویس امنیت اوکراین (SSU) اعلام کرد که «نشانه‌ هایی» از دخالت گروه‌ های هکر مرتبط با سرویس‌ های اطلاعاتی روسیه پیدا کرده است.

محققان هشدار دادند: «با توجه به مقیاس نفوذ های مشاهده‌شده، MSTIC قادر به ارزیابی قصد اقدامات مخرب شناسایی‌ شده نیست، اما معتقد است که این اقدامات خطر بالایی برای هر سازمان دولتی، غیرانتفاعی یا شرکتی واقع یا دارای سیستم‌ هایی در اوکراین است».

با این حال، رویترز اوایل امروز این احتمال را مطرح کرد که این حملات ممکن است کار یک گروه جاسوسی مرتبط با اطلاعات بلاروس بوده باشد که با نام‌ های UNC1151 و Ghostwriter فعالیت میکند. شرکت امنیت سایبری Mandiant در نوامبر 2021 در گزارشی با اشاره به فعالیت‌ های این گروه به عنوان اقداماتی در راستای منافع دولت بلاروس فاش کرد: «حملات مهم متعددی به نهادهای دولتی اوکراین توسط UNC1151 انجام شده است.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.