微软公司发布警报称,新一波数据擦除恶意软件(代号DEV-0586)正在袭击乌克兰多个政府部门、信息技术机构等,目前已有数十个系统感染;
就在前一天,乌克兰政府还遭遇了大规模网络攻击,大量政府网站内容被篡改为“数据窃取和泄露言论”,官方随后辟谣未发生数据泄露;
乌克兰政府将此次网络攻击归咎为白俄罗斯威胁组织UNC1151,并认为该行动与俄罗斯有关联。
在上周五政府网站遭遇大规模网络攻击后,乌克兰又沦为数据擦除恶意软件的攻击目标。这种恶意软件在效果上与勒索软件非常相似,关键区别是受损数据根本无法恢复。乌克兰官员很快将矛头指向嫌疑人白俄罗斯。
擦除器专注破坏性,已感染“数十个”系统
根据微软1月15日发布的警报,这一波新的恶意软件浪潮已经“席卷多个政府部门、非营利组织与信息技术机构。”
恶意软件会擦除目标Windows系统中的主引导记录,使其无法运行。其主要可执行文件“通常”命名为stage1.exe,通过Impacket下发执行。
攻击过程的第二阶段,该擦除器的stage2.exe会横冲直撞般地扫荡系统中的其余部分,覆盖从Word文档到网页(.HTML与.PHP文件)、图像与数据库等所有内容。它会搜索多种文件扩展名,并“使用固定数量的0xCC字节(总计1 MB)”覆盖文件的内容。
微软威胁情报中心(MSTIC)表示,这种擦除器在设计上与勒索软件高度类似,甚至会留下带有比特币钱包地址的勒索信,要求受害者支付1万美元。更重要的是,勒索信中还列出了一个Tox即时通讯地址。
虽然符合勒索软件的种种特征,但这个被微软命名为DEV-0586、明显出于有组织团伙之手的擦除器却并不具备任何恢复机制。MSTIC补充称,该擦除器“就是要强调破坏性,令目标设备无法正常操作”。
截至目前,据称该擦除器已经感染了“数十个”系统。
祸不单行!前一天遭遇大规模政府网站篡改
就在此次擦除器恶意软件袭来的前一天,1月14日还发生了一起备受瞩目的大型网站篡改事件,导致多个乌克兰政府网站受到影响。网站上的常规内容被以波兰语、俄语及乌克兰语编写的通知所取代,内容是宣告目标机构中的个人数据已遭窃取、并将被公布在互联网上。但乌克兰随后辟谣,强调没有实际发生数据盗窃事件。
2021年10月,乌克兰政府常用的网站内容管理系统(基于Laravel框架的OctoberCMS)被曝出评分6.4分的密码重置漏洞,当时OctoberCMS已发布新版本进行修复。乌克兰CERT表示,攻击者利用该漏洞实施了入侵。
幕后凶手是谁?乌克兰称是白俄罗斯
上周末,乌克兰国家安全与国防委员会副秘书长Serhiy Demedyuk将此次黑客攻击归咎于白俄罗斯。
他对路透社表示,此次攻击的幕后黑手正是威胁组织UNC1151,曾实施过Ghostwriter信息行动。“这是一支隶属于白俄罗斯共和国特殊行动部门的网络间谍组织……用于加密我国部分政府服务器的恶意软件,与ATP29组织所使用的恶意软件具有相同特征。”
Demedyuk在采访中直接点名了俄罗斯对外情报局(SVR)在网络安全行业的代号(APT29)。白俄罗斯最近正着力加强与俄罗斯之间的政治联系,在俄罗斯的指挥下利用俄罗斯工具开展网络攻击也不是没有可能。也许这意味着又一波指向乌克兰的冲突正在酝酿,甚至会将冲突烈度推向新的层面。
参考来源:https://www.theregister.com/2022/01/17/ukraine_pc_wiping_malware_belarus_accusations/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。