Nowe, złośliwe oprogramowanie- WhisperGate wykorzystywane w cyberatakach na Ukrainę
Microsoft ostrzegł w sobotę przed nowym, złośliwym oprogramowaniem wykorzystywanym w cyberatakach na rząd Ukrainy. Opisuje je jako potencjalny program do czyszczenia głównego rekordu rozruchowego (MBR) i twierdzi, że złośliwe oprogramowanie jest uruchamiane, gdy dotknięte urządzenie jest wyłączane i podszywa się pod oprogramowanie ransomware — ale nie ma mechanizmu odzyskiwania okupu.
Malware został nazwany „WhisperGate”. Po raz pierwszy pojawił się w systemach ofiar 13 stycznia 2022 r. i zaatakowało wiele organizacji, wszystkie na Ukrainie.
Chociaż Microsoft twierdzi, że nie znalazł żadnych znaczących powiązań między obserwowaną aktywnością (którą śledzi jako DEV-0586) a innymi znanymi grupami zagrożeń, Ukraina poinformowała w niedzielę, że ma „dowody”, że za atakami stoi Rosja.
Ekspert ds. cyberbezpieczeństwa z sektora prywatnego w Kijowie powiedział agencji Associated Press, że osoby atakujące przeniknęły do sieci rządowych za pośrednictwem współdzielonego dostawcy oprogramowania w ramach ataku w łańcuchu dostaw. Tym dostawcą jest podobno firma o nazwie Kitsoft.
Ukraińska służba bezpieczeństwa SBU poinformowała, że celem ataków było co najmniej 70 rządowych stron internetowych.
Wyciek danych z MON-u nie taki znowu straszny?
Kiedy Onet opublikował informację o gigantycznym wycieku danych z Ministerstwa Obrony Narodowej temat podchwyciły praktycznie wszystkie media. Politycy zaczęli żądać dymisji. Dziennikarze pisać o bezmiarze kompromitacji.
MON zareagował na informacje na Twiterze „Jeśli ktoś się kompromituje, to jest to Onet, który powtarza bzdury publikowane przez Die Welt. Dane, które zostały ujawnione, są regularnie publikowane w publicznej bazie prowadzonej przez NATO Master Catalogue of References for Logistics.” Czy jest tak rzeczywiście?
O analizę materiałów z wycieku pokusił się między innymi Niebezpiecznik. Specjaliści z tego portalu nie wydają się poruszeni zawartością bazy. Zwracają uwagę na „śmieszne” elementy wyposażenia, czy na dane nie będące wyliczeniem ekwipunku.
„Jest też tabela z uprawnieniami, na podstawie której można odczytać nazwy 7 użytkowników systemu, które zawierają najprawdopodobniej ich nazwiska (jedna osoba ma chyba multikonto). A z PDF z instrukcją można odczytać dane jeszcze jednej osoby, wraz z numerem telefonu i adresem w sieci zamkniętej MILNET-Z.”- pisze Niebezpiecznik.
Rosja rozprawia się z REvil?
Moskiewski sąd w sobotę aresztował ośmiu hakerów na dwa miesiące. Jest to część akcji realizowana na prośbę Waszyngtonu. Aresztowani to podobno członkowie znanej grupy hakerskiej REvil. Pozostaną w areszcie do połowy marca. Jeśli zostaną skazani, grozi im do siedmiu lat więzienia.
W piątek Rosja poinformowała, że rozwiązała grupę hakerską REvil, która w zeszłym roku przeprowadziła głośny atak na amerykańską firmę programistyczną Kaseya.
Rosyjska Federalna Służba Bezpieczeństwa (FSB) poinformowała, że „tłumiła nielegalną działalność” członków grupy podczas nalotów na 25 adresów, w których wzięło udział 14 osób. Cyberbezpieczeństwo było jednym z głównych punktów programu spotkania na szczycie między prezydentem Rosji Władimirem Putinem a prezydentem USA Joe Bidenem w zeszłym roku.
FSB poinformowała, że członkowie grupy „opracowali złośliwe oprogramowanie i zorganizowali defraudację środków z kont bankowych obcokrajowców”.