بهتازگی تیم امنیت سایبری مایکروسافت اعلام کرد که همزمان با تشدید تنشهای بین روسیه و اوکراین، به شواهدی از یک عملیات بدافزاری جدید تحت عنوان WhisperGate دست یافته است. بنا بر اظهارات مایکروسافت: « WhisperGate نهادهای غیردولتی، دولتی و سازمانهای فناوری اطلاعات در اوکراین را مورد هدف قرار میدهد».
معاون امنیت و اعتماد مشتریان مایکروسافت میگوید: «این بدافزار در قالب باجافزار به سیستمهای قربانیان نفوذ کرده و قابلیت آلوده نمودن و از کار انداختن کل سیستم را دارد». وی افزود: «نهادهای اجرایی و سازمانهای مسئول عملیات اضطراری دولتی از جمله اهداف WhisperGate بودند. برای مثال یک شرکت فناوری اطلاعاتی که وبسایتهای مشتریان بخش خصوصی و دولتی را مدیریت میکند قربانی این بدافزار شدند. در نتیجه وبسایتهای بسیاری از مؤسسات دولتی در اثر اجرای این حملات با مشکلات بسیار زیادی مواجه گردیدند».
مایکروسافت این بدافزار را به گروهی از تهدیدات نوظهور با کد DEV-0586 نسبت میدهد. فنون مورد استفاده این گروه هیچ شباهتی با راهکارهای گروههایی که پیش از این شناسایی و ثبت شدهاند، ندارند. مایکروسافت اعلام کرده که: «این بدافزار بر روی دهها سیستم شناسایی شده و انتظار میرود که سیستمهای بیشتری شناسایی شوند».
بنا بر گفته واحد امنیت دیجیتال و مرکز هوش تهدید مایکروسافت: «این حمله سایبری شامل یک زنجیره حمله دو مرحلهای است». این مراحل عبارتند از:
- ایجاد تغییر در سکتور اول هر هارد دیسکی که سیستمعامل بر روی آن مستقر است. این کار با هدف فراهم نمودن مکان بارگذاری بدافزار بر روی حافظه رم سیستم و نمایش پیام جعلی باجخواهی انجام میشود. در این پیام به قربانی اعلام میشود که هر چه سریعتر مقداری بیتکوین به ارزش 10 هزار دلار را به یک کیف پول رمز ارز واریز کند.
- مرحله دوم شامل استفاده از یک فایل اجرایی است که بدافزار تخریب کننده فایل را از روی یک کانال دیسکورد بازیابی میکند. این بدافزار قابلیت جستجوی 189 نوع فایل مختلف و جایگزین نمودن محتوای این فایلها با تعداد ثابتی بایت 0xCC را داشته و نام فایلها را به یک رشته ظاهراً تصادفی تغییر میدهد.
با توجه به اینکه پیامهای باجافزارهای مدرن معمولاً شامل مبلغ درخواستی و آدرس کیف پول به صورت صریح نمیباشند، بنابراین روش این حمله با آنچه در سایر باجافزارها مشاهده میشود کاملاً متفاوت است.
علاوه بر این یک پیام تهدیدآمیز مبنی بر انتشار اطلاعات شخصی کاربران اوکراینی در اینترنت بر روی چندین وبسایت دولتی اوکراین به نمایش گذاشته شده و عملکرد این وبسایتها نیز دچار اختلال گردیده است. سرویس اطلاعات اوکراین اعلام کرده که به شواهدی ناشی از دخالت هکرهای دولتی روسی در این حوادث رسیده است.
اگرچه واحد امنیت دیجیتال مایکروسافت همچنان هدف اصلی این اقدامات را مشخص نکرده، اما معتقد است که مؤسسات دولتی، خصوصی و کلیه سازمانهای مستقر در اوکراین در معرض مخاطرات ناشی از انجام این عملیات قرار دارند.
رویترز اعلام کرد که هکرهای یک گروه جاسوس متعلق به نهاد اطلاعاتی بلاروس که با کدهای UNC1151 و Ghostwriter شناسایی و پیگیری میشود ممکن است عوامل اجرای این حمله باشند. شرکت امنیت سایبری Mandiant در گزارشی به همسو بودن این عملیات با منافع دولت بلاروس اشاره کرده و اظهار داشته که UNC1151 چندین عملیات نفوذ مهم و چشمگیر به مؤسسات دولتی اوکراینی را انجام داده است».
منبع: thehackernews