PCMag编辑选择和审查产品独立.如果您通过附属链接购买,我们可能会赚取佣金,这有助于支持我们的测试。
  1. 首页
  2. 新闻
  3. 安全

乌克兰网络攻击的幕后黑手是谁?

在俄罗斯入侵乌克兰几小时前,针对乌克兰的数据清除网络攻击就开始了。我们与安全专家交谈,以确定恶意软件是否印有“来自俄罗斯的爱”字样。

通过尼尔·鲁本金
尼尔·鲁本金
安全首席分析师
我的经验

当IBM个人电脑刚刚推出时,我在旧金山个人电脑用户组担任了三年的总统。这就是我如何认识PCMag的编辑团队的,他们在1986年把我带进了公司。在那次决定命运的会议之后的几年里,我已经成为PCMag在安全、隐私和身份保护方面的专家,使用过反病毒工具、安全套件和各种安全软件。

阅读个人简介
2022年3月3日
(在新窗口打开)
(在新窗口打开)
(插图:René Ramos;盖蒂图片社/鲍里斯·日特科夫)

乌克兰重要的政府和基础设施遭到毁灭性打击数据刮擦网络攻击在俄罗斯入侵前几个小时。这种攻击类似于勒索软件,它会使重要文件或整个计算机无法使用。它只是没有提供金钱来弥补损失。从逻辑上讲,俄罗斯似乎是这些攻击的幕后黑手,但到目前为止,还没有任何确凿的证据。安全巨头ESET的研究人员深入研究了雨刷恶意软件的代码,并了解了很多它是如何工作的,何时部署的(在新窗口打开)尽管他们仍然无法证明攻击的来源。

邻家麻烦

虽然所有的安全公司都在关注针对乌克兰的网络攻击,但ESET对此感兴趣有一个特殊的原因。ESET总部位于斯洛伐克共和国首都布拉迪斯拉发,毗邻乌克兰西部,距离利沃夫不远。我问该公司的一位联系人,乌克兰战争对他们有什么影响(如果有影响的话)。他解释说:“ESET总部所在的布拉迪斯拉发距离乌克兰边境相当远。“到目前为止,冲突对斯洛伐克的唯一影响是抵达边境的难民,他们正在接受地方当局的立即帮助。”

“我们正在与受最近网络攻击影响的乌克兰组织合作,并尽我们所能帮助他们,”他继续说。“此外,ESET提供了财政和人道主义支持(在新窗口打开)."

特殊恶意软件传送

专家们这款恶意软件被称为“hermeticewiper”因为它是由一家名为Hermetica Digital Ltd的小游戏公司进行数字签名的,该公司位于地中海岛国塞浦路斯。早期的报道认为数字证书是从该公司窃取的,但这显然不是真的。公司报告从未申请过任何此类证书(在新窗口打开)这意味着肇事者一定是冒名申请的。无论如何,ESET要求DigiCert撤销证书,并于2月24日这样做了。

也许更有趣的是,研究人员发现了另一段使用同一证书签名的恶意代码,他们将其命名为HermeticWizard。这种蠕虫程序一旦进入网络,就会在整个网络中传播“密封雨刷”。不像病毒蠕虫不需要任何用户交互就能传播。

为了完成这项工作,HermeticWizard必须扫描网络上可用的计算机,并将其代码复制给它们。这是可疑的行为,很可能会被安全软件捕捉到。然而,研究人员发现,这种恶意软件使用随机选择的端口扫描可用的计算机,以逃避检测。在传播感染后,它会使用密封雨刷,从而摧毁证据。

恶意软件试图逃避检测可能根本没有必要。奥地利测试实验室最近的一项研究AV-Comparatives(在新窗口打开)挑战了近20个流行消费者杀毒程序和类似数量的企业端点保护解决方案来防御HermeticWiper。所有测试的产品都成功地进行了防御,这表明许多受害计算机根本没有防病毒保护。

网络攻击他们

在扫描他们捕获的大量恶意软件时,研究人员发现了另一个签名有Hermetica数字证书的文件。这一次被证明是一次真正的勒索软件攻击,所以他们将其命名为HermeticRansom。

在代码中,他们遇到了包含文本字符串“wHiteHousE”的文件名以及文件夹名403forBiden。编号为403的HTTP错误标题为“禁止”,这意味着“服务器理解请求,但拒绝对其授权”。

个人电脑的标志出人意料的是,更安全的网络很容易

在完成对重要文件加密的任务后,恶意软件会显示一封赎金通知,开头写道:“我们从新的选举中学到的唯一东西是,我们从旧的选举中学不到任何东西。”谢谢你的投票!最后,“祝你今天过得愉快!”ESET的团队发现,HermeticRansom的流行程度远低于HermeticWiper。他们怀疑这可能只是为了掩盖雨刷的动作而设计的。

还有IsaacWiper,可怜的表妹。在Hermetica证书被撤销后,ESET的研究人员在乌克兰发现了它。IsaacWiper根本没有数字签名。根据ESET的说法,它“与herometwiper没有代码相似之处,而且没有那么复杂。”一旦攻击者失去了其他攻击的数字签名验证,他们会把IssacWiper当作炮灰吗?

谁该对此负责呢?

当敌国越过边境发射大炮或发射洲际弹道导弹时,谁是幕后黑手是毫无疑问的。将网络攻击归咎于特定来源是很难的。研究人员会寻找一些线索,比如代码中嵌入的文本字符串、与已知命令和控制服务器的连接,或者与其他与源绑定的恶意软件有强烈相似之处的代码。然而,在这种情况下,没有这样的线索。

正如ESET的帖子所说,“在这一点上,我们没有发现任何已知的威胁行为者的有形联系。her甲wiper、her甲wizard和her甲ransom与ESET恶意软件集合中的其他样本没有任何显著的代码相似性。IsaacWiper的名字至今仍未公布。”

由于没有任何确切的来源,ESET的团队无法确定攻击来自俄罗斯。在被要求证实的情况下,该公司的一名代表愿意说,“我们的结论是,利用HermeticWiper和IsaacWiper进行的网络攻击,似乎是经过计划的,目标是对乌克兰受影响的组织造成破坏。”另一方面,至于找出任何有威胁的人其他该代表表示,“ESET研究团队尚未能够将这些攻击归因于一个已知的威胁行为者。”

是的,代码中提到了拜登总统和白宫,但这些也可能指向一个否认我们上次选举合法性的攻击者。没有确凿的证据表明恶意软件与俄罗斯有关,但旁证无疑是强有力的。

SecurityWatch<\/strong> newsletter for our top privacy and security stories delivered right to your inbox.","first_published_at":"2021-09-30T21:22:09.000000Z","published_at":"2022-03-24T14:57:33.000000Z","last_published_at":"2022-03-24T14:57:28.000000Z","created_at":null,"updated_at":"2022-03-24T14:57:33.000000Z"})" x-show="showEmailSignUp()" class="rounded bg-gray-lightest text-center md:px-32 md:py-8 p-4 mt-8 container-xs">

喜欢你正在读的东西?

报名参加SecurityWatch关于我们的顶级隐私和安全故事的时事通讯,直接发送到您的收件箱。

本通讯可能包含广告、交易或附属链接。订阅通讯即表示您同意我们的服务使用条款而且隐私政策.你可以随时退订时事通讯。beplay体育苹果下载


感谢您的报名!

您的订阅已确认。留意你的收件箱!

注册其他时事通讯beplay体育苹果下载

深入挖掘相关故事

新Signal老板:我们不是WhatsApp
通过Rob Pegoraro
苹果前雇员承认诈骗苹果1700万美元
通过马可Marcelline
2022年最佳加密软件
通过尼尔·鲁本金
给你生活中的安全专家的8个技术礼物
通过尼尔·鲁本金

你会喜欢的PCMag故事

关于尼尔·鲁本金

安全首席分析师

尼尔·鲁本金

当IBM个人电脑刚刚推出时,我在旧金山个人电脑用户组担任了三年的总统。这就是我如何认识PCMag的编辑团队的,他们在1986年把我带进了公司。在那次决定命运的会议之后的几年里,我已经成为PCMag在安全、隐私和身份保护方面的专家,使用过反病毒工具、安全套件和各种安全软件。

在我现在的安全工作之前,我在“用户对用户”和“问尼尔”专栏中为PCMag的读者提供了使用流行应用程序、操作系统和编程语言的技巧和解决方案,这两个专栏从1990年开始,持续了近20年。在此期间,我写了40多篇实用工具文章,以及《Delphi Programming for Dummies》和其他6本涉及DOS、Windows和编程的书籍。我还评论了数千种不同类型的产品,从早期的Sierra Online冒险游戏到AOL的前身Q-Link。

在21世纪初,我将工作重点转向了安全性和不断增长的反病毒行业。在从事反病毒工作多年后,我在安全行业中被认为是评估反病毒工具的专家。我是反恶意软件测试标准组织(AMTSO)的顾问委员会成员,AMTSO是一个致力于协调和改进反恶意软件解决方案测试的国际非营利组织。

读尼尔·J。个人简介

请阅读Neil J. Rubenking的最新报道

Baidu
map