شناسایی بدافزاری که مؤسسات دولتی اوکراین را مورد هدف قرار می‌دهد

به‌تازگی تیم امنیت سایبری مایکروسافت اعلام کرد که همزمان با تشدید تنش‌های بین روسیه و اوکراین، به شواهدی از یک عملیات بدافزاری جدید تحت عنوان WhisperGate دست یافته است. بنا بر اظهارات مایکروسافت: « WhisperGate نهادهای غیردولتی، دولتی و سازمان‌های فناوری اطلاعات در اوکراین را مورد هدف قرار می‌دهد».

معاون امنیت و اعتماد مشتریان مایکروسافت می‌گوید: «این بدافزار در قالب باج‌افزار به سیستم‌های قربانیان نفوذ کرده و قابلیت آلوده نمودن و از کار انداختن کل سیستم را دارد». وی افزود: «نهادهای اجرایی و سازمان‌های مسئول عملیات اضطراری دولتی از جمله اهداف WhisperGate بودند. برای مثال یک شرکت فناوری اطلاعاتی که وب‌سایت‌های مشتریان بخش خصوصی و دولتی را مدیریت می‌کند قربانی این بدافزار شدند. در نتیجه وب‌سایت‌های بسیاری از مؤسسات دولتی در اثر اجرای این حملات با مشکلات بسیار زیادی مواجه گردیدند».

مایکروسافت این بدافزار را به گروهی از تهدیدات نوظهور با کد DEV-0586 نسبت می‌دهد. فنون مورد استفاده این گروه هیچ شباهتی با راهکارهای گروه‌هایی که پیش از این شناسایی و ثبت شده‌اند، ندارند. مایکروسافت اعلام کرده که: «این بدافزار بر روی ده‌ها سیستم شناسایی شده و انتظار می‌رود که سیستم‌های بیشتری شناسایی شوند».

بنا بر گفته واحد امنیت دیجیتال و مرکز هوش تهدید مایکروسافت: «این حمله سایبری شامل یک زنجیره حمله دو مرحله‌ای است». این مراحل عبارتند از:

• ایجاد تغییر در سکتور اول هر‌ هارد دیسکی که سیستم‌عامل بر روی آن مستقر است. این کار با هدف فراهم نمودن مکان بارگذاری بدافزار بر روی حافظه رم سیستم و نمایش پیام جعلی باج‌خواهی انجام می‌شود. در این پیام به قربانی اعلام می‌شود که هر چه سریع‌تر مقداری بیت‌کوین به ارزش 10 هزار دلار را به یک کیف پول رمز ارز واریز کند.
• مرحله دوم شامل استفاده از یک فایل اجرایی است که بدافزار تخریب کننده فایل را از روی یک کانال دیسکورد بازیابی می‌کند. این بدافزار قابلیت جستجوی 189 نوع فایل مختلف و جایگزین نمودن محتوای این فایل‌ها با تعداد ثابتی بایت 0xCC را داشته و نام فایل‌ها را به یک رشته ظاهراً تصادفی تغییر می‌دهد.

با توجه به اینکه پیام‌های باج‌افزارهای مدرن معمولاً شامل مبلغ درخواستی و آدرس کیف پول به صورت صریح نمی‌باشند، بنابراین روش این حمله با آنچه در سایر باج‌افزارها مشاهده می‌شود کاملاً متفاوت است.

علاوه بر این یک پیام تهدیدآمیز مبنی بر انتشار اطلاعات شخصی کاربران اوکراینی در اینترنت بر روی چندین وب‌سایت دولتی اوکراین به نمایش گذاشته شده و عملکرد این وب‌سایت‌ها نیز دچار اختلال گردیده است. سرویس اطلاعات اوکراین اعلام کرده که به شواهدی ناشی از دخالت هکرهای دولتی روسی در این حوادث رسیده است.

اگرچه واحد امنیت دیجیتال مایکروسافت همچنان هدف اصلی این اقدامات را مشخص نکرده، اما معتقد است که مؤسسات دولتی، خصوصی و کلیه سازمان‌های مستقر در اوکراین در معرض مخاطرات ناشی از انجام این عملیات قرار دارند.

رویترز اعلام کرد که هکرهای یک گروه جاسوس متعلق به نهاد اطلاعاتی بلاروس که با کدهای UNC1151 و Ghostwriter شناسایی و پیگیری می‌شود ممکن است عوامل اجرای این حمله باشند. شرکت امنیت سایبری Mandiant در گزارشی به همسو بودن این عملیات با منافع دولت بلاروس اشاره کرده و اظهار داشته که UNC1151 چندین عملیات نفوذ مهم و چشمگیر به مؤسسات دولتی اوکراینی را انجام داده است».

منبع: thehackernews