Malware | Rusko | Ukrajina

Microsoft varuje před destruktivním malwarem, který cílí na ukrajinské organizace

V posledních několika měsících eskalovalo geopolitické napětí, když Rusko shromáždilo desítky tisíc vojáků podél ukrajinských hranic. Konflikt se přenesl i do kybernetické sféry, když neznámí hackeři koncem minulého týdne narušili desítky ukrajinských vládních internetových stránek a zanechali záhadné varování ukrajinským občanům. Do akce byl zapojen také destruktivní malware.

„Všechny vaše osobní údaje byly nahrány na server ve veřejné síti. Veškerá data v počítači jsou zničena, a nelze je obnovit. Všechny informace o vás byly zveřejněny, obávejte se a očekávejte nejhorší. Tohle je pro vás... pro vaši minulost, přítomnost i budoucnost. Za Volyň, za OUN, UPA, za Halič, za Polesí a za historické země,“ hlásá v překladu text, který se zobrazil po spuštění místo operačního systému na některých ukrajinských počítačích.

Microsoft varuje

Přibližně ve stejnou dobu se dle Microsoftu v sítích desítek vládních a neziskových organizací a firem zabývajících se informačními technologiemi se sídlem na Ukrajině začal objevovat destruktivní malware, který je schopen trvale zničit všechna data uložená v počítačích. Malware, který Microsoft nazývá Whispergate, vystupuje jako ransomware a za obnovení dat požaduje 10 000 dolarů v bitcoinech. Tento malware se poprvé objevil v systémech obětí na Ukrajině 13. ledna 2022.

Whispergate však postrádá mechanismus pro vymáhání výkupného, což jsou vlastnosti, které se vyskytují prakticky u všech funkčních ransomwarů. Je určen především k vyřazení cílových zařízení z provozu, čemuž napomáhá skutečnost, že přepisuje hlavní spouštěcí záznam (master boot record; MBR) – část pevného disku, která při startu počítače spouští operační systém.

Přepsání MBR je pro ransomware netypické,“ napsali členové Microsoft Threat Intelligence Center v sobotním příspěvku. „Ve skutečnosti je vydávání se za ransomware lstí. Existuje několik důvodů, proč tato aktivita neodpovídá aktivitám kyberzločinců v oblasti ransomwaru, které MSTIC zaznamenalo.“

„V současné době naše vyšetřovací týmy na základě přehledu společnosti Microsoft identifikovaly tento malware na desítkách zasažených systémů a tento počet může s pokračujícím vyšetřováním narůstat,“ uvádí zpráva Microsoftu.

Hackerská skupina UNC1151

Zástupce šéfa ukrajinské Rady národní bezpečnosti a obrany Serhij Demedjuk o víkendu sdělil, že předběžné výsledky společného vyšetřování několika ukrajinských státních orgánů ukazují, že za hackerským útokem stojí pravděpodobně skupina známá jako UNC1151. Tato skupina, kterou výzkumníci z bezpečnostní firmy Mandiant spojují s vládou ruského spojence Běloruska, stála za vlivovou kampaní s názvem Ghostwriter.

Ghostwriter fungoval tak, že ke krádeži přihlašovacích údajů obětí používal phishingové e-maily a domény, na kterých běžely falešné kopie legitimních webových stránek, jako je například Facebook. UNC1151 „propagovala především narativy namířené proti NATO, které podle všeho měly podkopat regionální bezpečnostní spolupráci v operacích zaměřených na Litvu, Lotyšsko a Polsko,“ napsali autoři zprávy.

Stopy vedou do Ruska

Ukrajinští představitelé uvedli, že hackeři z UNC1151 pravděpodobně pracovali ve prospěch Ruska. Své dovednosti využili při získávání přihlašovacích údajů a infiltraci webových stránek k poškození ukrajinských vládních stránek.

„K dnešnímu dni můžeme říci, že všechny důkazy ukazují na to, že za kybernetickým útokem stojí Rusko. Moskva nadále vede hybridní válku a aktivně buduje síly v informačním a kybernetickém prostoru,“ uvádí se v oficiálním prohlášení. Cílem není pouze zastrašit společnost, ale i destabilizovat situaci na Ukrajině tím, že zastaví práci veřejného sektoru a podkope důvěru Ukrajinců ve vládu.

Microsoft neuvedl, zda byl destruktivní malware nalezený v ukrajinských sítích pouze nainstalován pro případné pozdější použití, nebo jestli byl skutečně spuštěn, aby způsobil spoušť. Bohužel neexistuje žádný důkaz, že by se ruská vláda jakkoli podílela na malwaru Whispergate nebo na poškozování webových stránek. Ruští představitelé cokoli takového rozhodně popřeli.

„Vzhledem k rozsahu zjištěných průniků není MSTIC schopen posoudit záměr zjištěných destruktivních akcí, ale domnívá se, že představují zvýšené riziko pro všechny vládní agentury, neziskové organizace nebo podniky se sídlem nebo systémy na Ukrajině. Důrazně doporučujeme všem organizacím, aby neprodleně provedly důkladné šetření a zavedly obranu s využitím informací uvedených v tomto příspěvku,“ konstatuje Microsoft Threat Intelligence Center.

Diskuze (9) Další článek: Katalogu titulků OpenSubtitles.org v létě totálně vykradli databázi. Přiznal se až teď

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,