Останній аналіз зловмисного програмного забезпечення Wiper, націленого на десятки українських агентств на початку цього місяця, виявив «стратегічну схожість» зі шкідливим програмним забезпеченням NotPetya, яке було запущено проти інфраструктури країни та інших місць у 2017 році.
Зловмисне програмне забезпечення під назвою WhisperGate було виявлено минулого тижня корпорацією Майкрософт, яка заявила, що спостерігала за руйнівною кіберкампанією, націленою на державні, некомерційні та інформаційно-технологічні організації в країні, приписуючи вторгнення новому кластеру загроз під кодовою назвою «DEV-0586». “
«Хоча WhisperGate має певну стратегічну схожість із сумнозвісним склоочисником NotPetya, який атакував українські організації у 2017 році, зокрема маскуючись під програму-вимагач, націлюючись і знищуючи головний завантажувальний запис (MBR) замість його шифрування, він, зокрема, має більше компонентів, призначених для нанесення додаткової шкоди, “Cisco Talos заявила у звіті, в якому докладно описує свої зусилля з реагування.
Заявивши, що в атаці, ймовірно, використовувалися викрадені облікові дані, компанія з кібербезпеки також зазначила, що зловмисник мав доступ до деяких мереж жертви за кілька місяців до проникнення, що є класичною ознакою складних APT-атак.
Ланцюжок зараження WhisperGate створено як багатоетапний процес, який завантажує корисне навантаження, яке стирає головний завантажувальний запис (MBR), потім завантажує шкідливий файл DLL, розміщений на сервері Discord, який видаляє та виконує інше корисне навантаження, яке безповоротно знищує файли. перезаписуючи їх вміст фіксованими даними про заражені хости.
Ці висновки були зроблені через тиждень після того, як приблизно 80 веб-сайтів українських урядових установ були пошкоджені, при цьому українська розвідка підтвердила, що подвійні інциденти є частиною хвилі зловмисних дій, націлених на критичну інфраструктуру, а також зазначила, що атаки використовували нещодавно розкритий Log4j. уразливості, щоб отримати доступ до деяких скомпрометованих систем.
«Росія використовує країну як полігон для випробувань кібервійни — лабораторію для вдосконалення нових форм глобальної онлайн-боротьби», — зазначив Енді Грінберг з Wired у 2017 році в детальному аналізі атак, спрямованих на її енергомережу наприкінці 2015 року та спричинили безпрецедентні затемнення.
«Системи в Україні стикаються з проблемами, які можуть не стосуватися систем в інших регіонах світу, тому необхідно застосовувати додаткові засоби захисту та запобіжні заходи», — заявили дослідники Talos. «Переконатись, що ці системи виправлені та захищені, є надзвичайно важливим для пом’якшення загроз, з якими стикається регіон».