המטרה - להרוס: מיקרוסופט מדווחת על מתקפת סייבר נגד ארגונים באוקראינה עם מטרה אחת - לזרוע הרס
לפי צוות המודיעין של ענקית התוכנה, מדובר בכלי תקיפה דו שלבי המתחזה לתוכנת כופר - אך בפועל מוחק את הקבצים ללא יכולת שחזור
עמי רוחקס דומבה
| 16/01/2022
bigstock
המתח הביטחוני שנבנה בין רוסיה לאוקראינה בחודשים האחרונים התפתח גם במרחב הסייבר. בימים האחרונים צפו דיווחים בתקשורת העולמית סביב תקיפה של אתר משרד החוץ האוקראיני ומוסדות ממשלה נוספים. באותו עניין, חברת מיקרוסופט פרסמה אתמול (שבת) כי היא מצאה עדויות לכלי תקיפה בסייבר במערכות אוקראיניות שמטרתן אחת - לזרוע הרס (תוכנת Wiper).
״מיקרוסופט מעריכה שהתוכנה הזדונית, שנועדה להיראות כמו תוכנת כופר אך חסרה מנגנון שחזור כופר, נועדה להיות הרסנית ונועדה להפוך מכשירים ממוקדים לבלתי פעילים, במקום להשיג כופר״, כותבים בדיווח.
״נכון לעכשיו ובהתבסס על הנראות של Microsoft, צוותי החקירה שלנו זיהו את התוכנה הזדונית בעשרות מערכות מושפעות ומספר זה עשוי לגדול ככל שהחקירה שלנו תימשך. מערכות אלו משתרעות על פני ארגונים ממשלתיים רבים, כאלו ללא מטרות רווח וכאלו מתחום טכנולוגיית מידע, כולם מבוססים באוקראינה.
״איננו יודעים את השלב הנוכחי של מחזור הפעולה של התוקף או כמה קורבנות אחרים עשויים להתקיים באוקראינה או במקומות גיאוגרפיים אחרים. עם זאת, אין זה סביר שהמערכות המושפעות שמצאנו מייצגות את מלוא היקף ההשפעה.״
ב-13 בינואר, מיקרוסופט זיהתה פעילות פריצה שמקורה באוקראינה שנראתה כפעילות אפשרית של Master Boot Records (MBR) Wiper. במהלך החקירה, נמצאה תוכנה זדונית ייחודית בשימוש בהתקפות חדירה נגד קורבנות מרובים באוקראינה.
התוכנה הזדונית הדו-שלבית מחליפה את רשומת האתחול הראשית (MBR) במערכות הקורבנות עם פתק כופר (שלב 1). ה-MBR הוא החלק בכונן קשיח שאומר למחשב כיצד לטעון את מערכת ההפעלה שלו. פתק הכופר מכיל ארנק ביטקוין ומזהה Tox (מזהה חשבון ייחודי המשמש בפרוטוקול ההודעות המוצפנות של Tox) שלא נצפו בעבר על ידי מיקרוסופט.
בשלב השני, לאחר הביצוע של שלב ראשון, stage2.exe מורידה תוכנה זדונית מוחקת קבצים המתארחת בערוץ Discord, כאשר קישור ההורדה מקודד בשלב הראשון. לאחר ביצוע בזיכרון, התוכנה מאתרת קבצים בספריות מסוימות - ומוחקת אותם.
אזכיר כי תוכנות הרס אינן חדשות ונצפו בעבר בסעודיה (תקיפה נגד ארמקו) וכן במקומות נוספים בעולם.
לפי צוות המודיעין של ענקית התוכנה, מדובר בכלי תקיפה דו שלבי המתחזה לתוכנת כופר - אך בפועל מוחק את הקבצים ללא יכולת שחזור
bigstock
המתח הביטחוני שנבנה בין רוסיה לאוקראינה בחודשים האחרונים התפתח גם במרחב הסייבר. בימים האחרונים צפו דיווחים בתקשורת העולמית סביב תקיפה של אתר משרד החוץ האוקראיני ומוסדות ממשלה נוספים. באותו עניין, חברת מיקרוסופט פרסמה אתמול (שבת) כי היא מצאה עדויות לכלי תקיפה בסייבר במערכות אוקראיניות שמטרתן אחת - לזרוע הרס (תוכנת Wiper).
״מיקרוסופט מעריכה שהתוכנה הזדונית, שנועדה להיראות כמו תוכנת כופר אך חסרה מנגנון שחזור כופר, נועדה להיות הרסנית ונועדה להפוך מכשירים ממוקדים לבלתי פעילים, במקום להשיג כופר״, כותבים בדיווח.
״נכון לעכשיו ובהתבסס על הנראות של Microsoft, צוותי החקירה שלנו זיהו את התוכנה הזדונית בעשרות מערכות מושפעות ומספר זה עשוי לגדול ככל שהחקירה שלנו תימשך. מערכות אלו משתרעות על פני ארגונים ממשלתיים רבים, כאלו ללא מטרות רווח וכאלו מתחום טכנולוגיית מידע, כולם מבוססים באוקראינה.
״איננו יודעים את השלב הנוכחי של מחזור הפעולה של התוקף או כמה קורבנות אחרים עשויים להתקיים באוקראינה או במקומות גיאוגרפיים אחרים. עם זאת, אין זה סביר שהמערכות המושפעות שמצאנו מייצגות את מלוא היקף ההשפעה.״
ב-13 בינואר, מיקרוסופט זיהתה פעילות פריצה שמקורה באוקראינה שנראתה כפעילות אפשרית של Master Boot Records (MBR) Wiper. במהלך החקירה, נמצאה תוכנה זדונית ייחודית בשימוש בהתקפות חדירה נגד קורבנות מרובים באוקראינה.
התוכנה הזדונית הדו-שלבית מחליפה את רשומת האתחול הראשית (MBR) במערכות הקורבנות עם פתק כופר (שלב 1). ה-MBR הוא החלק בכונן קשיח שאומר למחשב כיצד לטעון את מערכת ההפעלה שלו. פתק הכופר מכיל ארנק ביטקוין ומזהה Tox (מזהה חשבון ייחודי המשמש בפרוטוקול ההודעות המוצפנות של Tox) שלא נצפו בעבר על ידי מיקרוסופט.
בשלב השני, לאחר הביצוע של שלב ראשון, stage2.exe מורידה תוכנה זדונית מוחקת קבצים המתארחת בערוץ Discord, כאשר קישור ההורדה מקודד בשלב הראשון. לאחר ביצוע בזיכרון, התוכנה מאתרת קבצים בספריות מסוימות - ומוחקת אותם.
אזכיר כי תוכנות הרס אינן חדשות ונצפו בעבר בסעודיה (תקיפה נגד ארמקו) וכן במקומות נוספים בעולם.
