乌克兰重要的政府和基础设施遭到毁灭性打击数据刮擦网络攻击在俄罗斯入侵前几个小时。这种攻击类似于勒索软件,它会使重要文件或整个计算机无法使用。它只是没有提供金钱来弥补损失。从逻辑上讲,俄罗斯似乎是这些攻击的幕后黑手,但到目前为止,还没有任何确凿的证据。安全巨头ESET的研究人员深入研究了雨刷恶意软件的代码,并了解了很多它是如何工作的,何时部署的(在新窗口打开)尽管他们仍然无法证明攻击的来源。
邻家麻烦
虽然所有的安全公司都在关注针对乌克兰的网络攻击,但ESET对此感兴趣有一个特殊的原因。ESET总部位于斯洛伐克共和国首都布拉迪斯拉发,毗邻乌克兰西部,距离利沃夫不远。我问该公司的一位联系人,乌克兰战争对他们有什么影响(如果有影响的话)。他解释说:“ESET总部所在的布拉迪斯拉发距离乌克兰边境相当远。“到目前为止,冲突对斯洛伐克的唯一影响是抵达边境的难民,他们正在接受地方当局的立即帮助。”
“我们正在与受最近网络攻击影响的乌克兰组织合作,并尽我们所能帮助他们,”他继续说。“此外,ESET提供了财政和人道主义支持(在新窗口打开)."
特殊恶意软件传送
专家们这款恶意软件被称为“hermeticewiper”因为它是由一家名为Hermetica Digital Ltd的小游戏公司进行数字签名的,该公司位于地中海岛国塞浦路斯。早期的报道认为数字证书是从该公司窃取的,但这显然不是真的。公司报告从未申请过任何此类证书(在新窗口打开)这意味着肇事者一定是冒名申请的。无论如何,ESET要求DigiCert撤销证书,并于2月24日这样做了。
也许更有趣的是,研究人员发现了另一段使用同一证书签名的恶意代码,他们将其命名为HermeticWizard。这种蠕虫程序一旦进入网络,就会在整个网络中传播“密封雨刷”。不像病毒蠕虫不需要任何用户交互就能传播。
为了完成这项工作,HermeticWizard必须扫描网络上可用的计算机,并将其代码复制给它们。这是可疑的行为,很可能会被安全软件捕捉到。然而,研究人员发现,这种恶意软件使用随机选择的端口扫描可用的计算机,以逃避检测。在传播感染后,它会使用密封雨刷,从而摧毁证据。
恶意软件试图逃避检测可能根本没有必要。奥地利测试实验室最近的一项研究AV-Comparatives(在新窗口打开)挑战了近20个流行消费者杀毒程序和类似数量的企业端点保护解决方案来防御HermeticWiper。所有测试的产品都成功地进行了防御,这表明许多受害计算机根本没有防病毒保护。
网络攻击他们
在扫描他们捕获的大量恶意软件时,研究人员发现了另一个签名有Hermetica数字证书的文件。这一次被证明是一次真正的勒索软件攻击,所以他们将其命名为HermeticRansom。
在代码中,他们遇到了包含文本字符串“wHiteHousE”的文件名以及文件夹名403forBiden。编号为403的HTTP错误标题为“禁止”,这意味着“服务器理解请求,但拒绝对其授权”。
在完成对重要文件加密的任务后,恶意软件会显示一封赎金通知,开头写道:“我们从新的选举中学到的唯一东西是,我们从旧的选举中学不到任何东西。”谢谢你的投票!最后,“祝你今天过得愉快!”ESET的团队发现,HermeticRansom的流行程度远低于HermeticWiper。他们怀疑这可能只是为了掩盖雨刷的动作而设计的。
还有IsaacWiper,可怜的表妹。在Hermetica证书被撤销后,ESET的研究人员在乌克兰发现了它。IsaacWiper根本没有数字签名。根据ESET的说法,它“与herometwiper没有代码相似之处,而且没有那么复杂。”一旦攻击者失去了其他攻击的数字签名验证,他们会把IssacWiper当作炮灰吗?
谁该对此负责呢?
当敌国越过边境发射大炮或发射洲际弹道导弹时,谁是幕后黑手是毫无疑问的。将网络攻击归咎于特定来源是很难的。研究人员会寻找一些线索,比如代码中嵌入的文本字符串、与已知命令和控制服务器的连接,或者与其他与源绑定的恶意软件有强烈相似之处的代码。然而,在这种情况下,没有这样的线索。
正如ESET的帖子所说,“在这一点上,我们没有发现任何已知的威胁行为者的有形联系。her甲wiper、her甲wizard和her甲ransom与ESET恶意软件集合中的其他样本没有任何显著的代码相似性。IsaacWiper的名字至今仍未公布。”
由于没有任何确切的来源,ESET的团队无法确定攻击来自俄罗斯。在被要求证实的情况下,该公司的一名代表愿意说,“我们的结论是,利用HermeticWiper和IsaacWiper进行的网络攻击,似乎是经过计划的,目标是对乌克兰受影响的组织造成破坏。”另一方面,至于找出任何有威胁的人其他该代表表示,“ESET研究团队尚未能够将这些攻击归因于一个已知的威胁行为者。”
是的,代码中提到了拜登总统和白宫,但这些也可能指向一个否认我们上次选举合法性的攻击者。没有确凿的证据表明恶意软件与俄罗斯有关,但旁证无疑是强有力的。