Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 24. januar 2022 | Emne: Sikkerhed
Den malware, der bruges til at ramme ukrainske regeringswebsteder, har ligheder med NotPetya-viskeren, men har flere funktioner “designet til at påføre yderligere skade,” siger forskere.
Benævnt WhisperGate er malwaren en wiper, der blev brugt i cyberangreb mod webstedsdomæner ejet af landets regering. Rækken af angreb førte til ødelæggelse af mindst 70 websteder og yderligere 10, der var udsat for “uautoriseret indblanding”, ifølge Ukraines sikkerhedstjeneste, statslige specialtjeneste og cyberpoliti.
Bølgen af angreb blev offentliggjort den 14. januar. De berørte websteder omfattede det ukrainske udenrigsministerium, ministeriet for undervisning og videnskab og forskellige statslige tjenester.
Skærmen og det rapporterede kompromis af mindst to regeringssystemer kommer på et tidspunkt, hvor der ser ud til at være en voksende trussel om Ruslands invasion i Ukraine, på trods af at landet nægter sådanne planer. Storbritannien har for nylig trukket en række britiske ambassadeansatte ud af Kiev som svar.
Microsoft har offentliggjort en analyse af WhisperGate, som blev opdaget den 13. januar. I en opfølgning sagde Cisco Talos, at det var sandsynligt, at stjålne legitimationsoplysninger gav adgangspunktet til udrulningen af viskeren.
Cisco Talos siger, at der bruges to vinduesviskere i WhisperGate-angreb. Den første visker forsøger at ødelægge master boot record (MBR) og at udrydde eventuelle gendannelsesmuligheder.
“I lighed med den berygtede NotPetya-visker, der udgav sig for at være ransomware under sin kampagne i 2017, er WhisperGate ikke beregnet til at være et egentligt forsøg på løsepenge, da MBR er fuldstændigt overskrevet,” siger forskerne.
Men med mange moderne systemer, der nu flytter til GUID Partition Tables (GPT'er), kan denne eksekverbare fil muligvis ikke lykkes – og derfor er en ekstra slettet blevet inkluderet i angrebskæden.
I andet trin henter en downloader kode, der kræves til det tredje trin. Efter at en base64-kodet PowerShell-kommando er udført to gange, og et slutpunkt anmodes om at gå i dvaletilstand i 20 sekunder. En Discord-server-URL, hardkodet i downloaderen, pinges derefter for at få fat i en .DLL-fil.
.DLL, skrevet i C#, er sløret med Eazfuscator, en .NET platform obfuscator og optimizer. .DLL'en er en dropper, der implementerer og udfører den primære wiper-nyttelast gennem et VBScript. Derudover manipuleres indstillingerne i Windows Defender for at udelukke måldrevet fra scanninger.
“Viskerens nyttelast i fjerde trin er sandsynligvis en beredskabsplan, hvis førstetrinsviskeren ikke klarer endepunktet,” siger Cisco Talos.
I det fjerde trin opsøger viskeren faste og eksterne logiske drev til målet. Optælling sker derefter, og filer slettes i drev uden for mappen “%HOMEDRIVE%Windows”. Filer med en af 192 filtypenavne, inklusive .HTML, .PPT, .JPG, .RAR, .SQL og .KEY, bliver ødelagt.
“Viskeren vil overskrive indholdet af hver fil med 0xCC-bytes på 1 MB og omdøbe dem ved at tilføje hvert filnavn med en tilfældig fire-byte-udvidelse,” siger Talos. “Efter at sletteprocessen er fuldført, udfører den en forsinket kommandoudførelse ved hjælp af Ping for at slette “InstallerUtil.exe” fra %TEMP%-biblioteket. Til sidst forsøger den at tømme alle filbuffere til disken og stoppe alle kørende processer (inklusive sig selv) ved at kalder ExitWindowsEx Windows API med EWX_SHUTDOWN flag.”
Efter cyberangrebet sagde EU, at den mobiliserede “alle sine ressourcer” for at hjælpe Ukraine, NATO har lovet sin støtte, og den amerikanske præsident Biden har advaret Rusland om et cyber-svar, hvis Ukraine fortsætter med at være målrettet.
CISA har anbefalet (.PDF), at organisationer generelt, såvel som dem, der er knyttet til Ukraine, implementerer multifaktorautentificering for fjernsystemer, deaktiverer porte og adgangspunkter, der ikke er forretningskritiske, og at stærke kontroller implementeres for cloud-tjenester for at mindske risikoen for kompromis.
“Vi vurderer med middel sikkerhed, at stjålne legitimationsoplysninger blev brugt i angrebet baseret på vores undersøgelse indtil videre,” siger Cisco Talos. “Vi har stor tillid til, at aktørerne havde adgang til nogle offernetværk forud for angrebene, potentielt i et par måneder eller længere. Dette er et almindeligt træk ved sofistikerede APT-angreb.”
Tidligere og relateret dækning
Et 'massivt' hackingangreb har ramt regeringswebsteder i Ukraine
Ukraine siger, at mere end 70 regeringswebsteder blev ødelagt, 10 blev udsat for 'uautoriseret indblanding'
Biden advarer mod USA's “cyber”-reaktion, efter Ukraine siger, at computere blev slettet under angreb
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre