Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi Publicerad i Zero Day den 24 januari 2022 | Ämne: Säkerhet
Den skadliga programvaran som används för att drabba ukrainska myndigheters webbplatser har likheter med NotPetya-torkaren men har fler funktioner “designade för att orsaka ytterligare skada”, säger forskare.
Skadlig programvara, kallad WhisperGate, är en torkare som användes vid cyberattacker mot webbplatsdomäner som ägs av landets regering. Strömmen av attacker ledde till att minst 70 webbplatser förstördes och ytterligare 10 var föremål för “obehörig störning”, enligt Ukrainas säkerhetstjänst, statlig specialtjänst och cyberpolis.
Vågen av attacker offentliggjordes den 14 januari. Webbplatser som påverkades var det ukrainska utrikesministeriet, utbildnings- och vetenskapsministeriet och olika statliga tjänster.
Förstörelsen och den rapporterade kompromissen av minst två regeringssystem kommer vid en tidpunkt då det verkar finnas ett växande hot om invasion av Ryssland i Ukraina, trots att landet förnekar sådana planer. Storbritannien har nyligen dragit ut ett antal brittiska ambassader från Kiev som svar.
Microsoft har publicerat en analys av WhisperGate, som upptäcktes den 13 januari. I en uppföljning sa Cisco Talos att det var troligt att stulna referenser gav åtkomstpunkten för utplaceringen av torkaren.
Cisco Talos säger att två torkare används i WhisperGate-attacker. Den första torkaren försöker förstöra master boot record (MBR) och radera eventuella återställningsalternativ.
“I likhet med den ökända NotPetya-torkaren som maskerade sig som ransomware under sin kampanj 2017, är WhisperGate inte avsedd att vara ett verkligt lösenförsök, eftersom MBR är helt överskrivet”, säger forskarna.
Men med många moderna system som nu flyttar till GUID Partition Tables (GPTs), kanske den här körbara filen inte lyckas – och därför har en extra raderad inkluderats i attackkedjan.
I det andra steget hämtar en nedladdare kod som krävs för det tredje steget. Efter att ett base64-kodat PowerShell-kommando exekveras två gånger och en slutpunkt uppmanas att gå in i viloläge i 20 sekunder. En Discord-server-URL, hårdkodad i nedladdningsprogrammet, pingas sedan för att ta en .DLL-fil.
.DLL, skriven i C#, är obfuscerad med Eazfuscator, en .NET-plattformsobfuscator och optimerare. .DLL är en dropper som distribuerar och kör huvudtorkarens nyttolast genom ett VBScript. Dessutom manipuleras Windows Defender-inställningarna för att utesluta målenheten från genomsökningar.
“Fjärde stegets torkarnyttolast är förmodligen en beredskapsplan om första stegs torkaren inte klarar slutpunkten”, säger Cisco Talos.
I det fjärde steget söker torkaren upp fasta och fjärranslutna logiska enheter till målet. Uppräkning sker sedan och filer raderas på enheter utanför katalogen “%HOMEDRIVE%Windows”. Filer med en av 192 tillägg, inklusive .HTML, .PPT, .JPG, .RAR, .SQL och .KEY, förstörs.
“Torkaren kommer att skriva över innehållet i varje fil med 1MB värde av 0xCC byte och byta namn på dem genom att lägga till varje filnamn med en slumpmässig fyra-byte förlängning,” säger Talos. “Efter att rensningsprocessen är klar utför den en fördröjd kommandoexekvering med Ping för att ta bort “InstallerUtil.exe” från katalogen %TEMP%. Slutligen försöker den spola alla filbuffertar till disken och stoppa alla pågående processer (inklusive sig själv) genom att anropar ExitWindowsEx Windows API med flaggan EWX_SHUTDOWN.”
Efter cyberattacken sa EU att de mobiliserar “alla sina resurser” för att hjälpa Ukraina, Nato har lovat sitt stöd och USA:s president Biden har varnat Ryssland för ett “cybersvar” om Ukraina fortsätter att vara riktad.
CISA har rekommenderat (.PDF) att organisationer i allmänhet, såväl som de som är kopplade till Ukraina, implementerar multifaktorautentisering för fjärrsystem, inaktiverar portar och accesspunkter som inte är affärskritiska och att starka kontroller implementeras för molntjänster för att minska risken för kompromisser.
“Vi bedömer med medelhög tillförsikt att stulna referenser användes i attacken baserat på vår undersökning hittills”, säger Cisco Talos. “Vi har hög tilltro till att aktörerna hade tillgång till vissa offernätverk före attackerna, potentiellt under några månader eller längre. Detta är ett vanligt drag för sofistikerade APT-attacker.”
Tidigare och relaterad bevakning
En “massiv” hackingattack har drabbat statliga webbplatser i Ukraina
Ukraina säger att mer än 70 statliga webbplatser förstördes, 10 utsattes för “obehörig störning”
Biden varnar för USA:s “cyberreaktion” efter att Ukraina säger att datorer har torkats under attack
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter