Ukrayna’daki birden fazla kuruluş, hedeflenen sistemleri tamamen çalışamaz hale getirmek için tasarlanmış yıkıcı, muhtemelen ulus devlet destekli bir kötü amaçlı yazılım operasyonunda geçen hafta vuruldu.
İki aşamalı kötü amaçlı yazılım, yüzeyde fidye yazılımı gibi görünüyor. Ancak Microsoft, Cuma günü yaptığı açıklamada, kurtarma mekanizmasına sahip olmadığını ve bunun yerine Ana Önyükleme Kaydının (MBR) ve virüslü sistemlerdeki belirli dosyaların içeriğinin üzerine yazmak için tasarlandığını söyledi.
Saldırılar, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nı (CISA) 18 Ocak’ta ABD kuruluşlarını kritik işlevlere ciddi zarar verebilecek siber saldırılara karşı uyanık olmaya çağıran bir tavsiye yayınlamaya sevk etti.
Microsoft’tan araştırmacılar, WhisperGate adlı kötü amaçlı yazılımın ilk olarak 13 Ocak’ta ortaya çıktığını gözlemlediler ve o zamandan beri hükümete, bilgi teknolojisine ve Ukrayna merkezli kar amacı gütmeyen kuruluşlara ait düzinelerce sistemde tespit ettiler. Kötü amaçlı yazılımdan etkilenen toplam kuruluş sayısı belirsizliğini koruyor. Ama şimdiye kadar tanımlanandan daha fazla kurban olduğu neredeyse kesin. Microsoft dedi.
Microsoft’un gözlemlediği kötü niyetli faaliyet, geçen hafta hükümet web sitelerini ele geçiren ve Ukrayna’daki birden fazla kuruluştaki operasyonları kesintiye uğratan daha geniş bir saldırı dalgasının parçası. Hiçbir grup saldırıları üstlenmedi ve şimdiye kadar en azından çok azı onları herhangi bir tehdit aktörüne veya devlet sponsoruna alenen atfetti.
Ancak çoğu kişi, Ukrayna’daki saldırıların büyük olasılıkla Rus ajanlar tarafından gerçekleştirildiğine ve iki ülke arasındaki mevcut gergin durumun bir tezahürü olduğuna inanıyor. Aralık 2015’te, Rusya ile Ukrayna arasında benzer şekilde gergin bir dönemde, eski tehdit aktörleri, Ukrayna’nın elektrik şebekesinin bir bölümünü ele geçiren ve ülkenin bazı bölgelerinde elektrik kesintisine neden olan bir dizi siber saldırı başlattı.
Digital Shadows’ta kıdemli siber tehdit istihbarat analisti Chris Morgan, saldırıları Rusya ile ilişkilendirmenin mantıksız olmadığını söylüyor.
Morgan, “Saldırılar, daha önce askeri kara kuvvetlerinin hareketlerinden önce siber saldırıların kullanımını içeren hibrit savaş taktikleri uygulayan Rusya ile uyumlu tehdit aktörleri tarafından sıklıkla kullanılan tutarlı bir modele uyuyor” diyor. “Bu, 2008’de Güney Osetya’daki çatışmadan önce, 2014 Kırım’ın ilhakı sırasında Gürcistan’a yönelik siber saldırıları ve 2017’de Ukrayna’ya karşı Petya ve MeDoc saldırılarında kullanılan yıkıcı kötü amaçlı yazılımları içeriyor.”
Öncelik olarak imha
Microsoft, WhisperGate’i, tehdit aktörlerinin genellikle uzaktan yürütme ve yanal hareket için kullandığı Impacket adlı halka açık bir araçtan yararlanan benzersiz iki aşamalı bir kötü amaçlı yazılım olarak tanımladı. İlk aşama kötü amaçlı yazılım çeşitli dizinlerde bulunur ve bilgisayara işletim sistemini nasıl yükleyeceğini söyleyen MBR kodunun üzerine bir fidye notu yazar. Fidye notu, önceden bilinmeyen bir Bitcoin cüzdan adresi ve görünüşte kurbanların ödeme yapmak için kullanması için şifreli iletişimler için bir hesap tanımlayıcısı içeriyor. Ancak Microsoft, kötü amaçlı yazılımın tek amacının MBR’yi ve virüslü cihazlarda hedeflediği diğer dosyaları yok etmek olduğunu söyledi.
WhisperGate’in ikinci aşaması bileşeni, bir Discord kanalında barındırılan kötü amaçlı yazılımlar için indiricidir. Kötü amaçlı yazılım, .backup, .bak, .jpeg, .java, .jar, .rtf, .sav ve .xltm gibi belirli dosya uzantılarına sahip, güvenliği ihlal edilmiş bir sistemdeki belirli dizinlerdeki dosyaları bozmak için tasarlanmıştır. Kötü amaçlı yazılım, bu uzantılara ve yüzden fazla uzantıya sahip dosyalarla karşılaştığında, hemen dosyanın üzerine yazar ve ardından her birini rastgele 4 baytlık bir uzantıyla yeniden adlandırır.
Tehdit aktörünün kötü amaçlı yazılımı kullanma amacı, mümkün olduğu kadar çok sistemi çalışamaz hale getirmek ve geri yüklemeyi zorlaştırmak gibi görünüyor.
Morgan, “Bu, muhtemelen Ukrayna vatandaşlarının günlük faaliyetlerine meydan okumak ve aynı zamanda Ukrayna hükümetinin otoritesini gayri meşru kılmak için yapıldı” dedi.
Netenrich’teki başlıca tehdit avcısı John Bambinek, bu tür saldırılara karşı korunmak için temel güvenlik hijyeninin kritik olduğunu söylüyor.
Bambinek, “Nihayetinde, kötü amaçlı yazılımları önlemek için tasarlanmış herhangi bir önlem burada işe yarayacaktır” diyor. “Bir saldırgan ister fidye yazılımı, ister RAT veya MBR kötü amaçlı yazılımı dağıtmak isterse, özünde bir kötü amaçlı yazılım sorunuyla uğraşıyorsunuz.” Bunun ötesinde, hizmetlerin restorasyonu için bir planın olması için bir iş sürekliliği ve felaket kurtarma planının gerekli olduğunu da ekliyor.