fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Технічний аналіз шкідливого завантажувача WhisperGate, націленого на українські організації

Новина

15 січня стало відомо, що проти низки українських організацій було розгорнуто набір шкідливих програм, що отримав назву WhisperGate. За численними даними, інцидент був викликаний трьома окремими компонентами, розгорнутими одним і тим самим зловмисником: шкідливий завантажувач, що пошкоджує виявлені локальні диски, Discord-завантажувач і File Wiper.

Активність відбулася приблизно в той же час, коли кілька веб-сайтів, що належать уряду України, були атаковані.

Розглянемо цей шкідливий завантажувач детальніше.


Деталі


Компонент інсталятора для завантажувача має наступний хеш SHA256:

a196c6b8ffcb97ffb276d04f354696e2391311db3841ae16c8c9f56f36a38e92

і містить часову мітку 2022-01-10 10:37:18 UTC. Він був зібраний за допомогою MinGW, аналогічного компоненту file-wiper. Цей компонент перезаписує головний завантажувальний запис (MBR) зараженого хоста шкідливим 16-бітним завантажувачем з хешем SHA256

44ffe353e01d6b894dc7ebe686791aa87fc9c7fd88535acc274f61c2cf74f5b8

який при завантаженні хоста відображає повідомлення про викуп (Рис. 1) та одночасно виконує деструктивні операції на жорстких дисках зараженого хоста.


Рис. 1: Підроблене повідомлення про викуп


Операція деструктивного видалення даних має такий псевдокод:


Періодично завантажувач перезаписує сектори всього жорсткого диска зараженого хоста з повідомленням, схожим на записку про викуп, з додатковими байтами (Рисунок 2).


Рис. 2: Шістнадцятковий дамп шаблону, записаного на диски зараженого хоста


Дані складаються з рядка AAAAA, індексу зараженого диска, повідомлення про викуп і магічного значення 55 AA в колонтитулі MBR, за яким слідують два нульові байти.

Завантажувач отримує доступ до диска через переривання BIOS 13h в режимі логічної адресації блоків (LBA) і перезаписує кожен 199 сектор, поки не буде досягнутий кінець диска. Після його пошкодження, шкідлива програма перезаписує наступний диск зі списку виявлених.

Цей процес не відрізняється складністю, але нагадує більш сучасну реалізацію шкідливого MBR вірусу NotPetya, який маскувався під легітимну утиліту відновлення диска chkdsk, а насправді пошкоджував файлову систему зараженого вузла.

Програма встановлення завантажувача не ініціює перезавантаження зараженої системи, як це спостерігалося у минулих вторгненнях, таких як BadRabbit та NotPetya. Відсутність примусового перезавантаження дозволяє припустити, що нападник зробив інші кроки для його ініціювання (наприклад, за допомогою іншого Implant) або вирішив дозволити користувачам виконати перезавантаження самостійно. Відкладене перезавантаження може дозволити запустити інші компоненти вторгнення WhisperGate (наприклад, File Wiper).


Оцінка


Шкідлива програма-завантажувач WhisperGate доповнює свого "напарника" File Wiper. Обидві програми спрямовані на безповоротне пошкодження даних заражених вузлів і намагаються маскуватися під сучасні операції з вимагання. Однак завантажувач WhisperGate не має в собі механізму розшифровки або відновлення даних, а також відрізняється від шкідливих програм, які зазвичай використовуються під час ransomware.

Хоча повідомлення про викуп передбачає, що жертви можуть розраховувати на відновлення своїх даних, це технічно неможливо. Ці невідповідності з великою ймовірністю вказують на те, що діяльність WhisperGate спрямована на знищення даних на уражених ресурсах. Хоча ця оцінка зроблена з часткою припущення, оскільки технічний аналіз WhisperGate все ще продовжується.

Ця активність нагадує руйнівну шкідливу програму NotPetya від VOODOO BEAR, яка включала компонент, що видавав себе за легітимну утиліту chkdsk і ушкоджував Master File Table (MFT) зараженого вузла – критично важливий компонент файлової системи NTFS від Microsoft. Однак завантажувач WhisperGate менш складний, і на сьогодні в ньому не вдалося виявити технічних збігів з операціями VOODOO BEAR.


Актуальні розвіддані про WhisperGate, представлені командою CrowdStrike, є інформацією, що базується на високоякісних даних з кількох джерел. І хоча високий ступінь якості вихідної інформації не означає, що ця оцінка є незаперечним судженням, кіберрозвідка CrowdStrike здатна дати розуміння мотивів, цілей та планів зловмисника. Саме це дозволяє приймати більш швидкі та обґрунтовані рішення у сфері безпеки та змінювати свою реактивну поведінку на проактивну.

Дізнатися більше про рішення від CrowdStrike.


iIT Distribution – офіційний дистриб'ютор рішень компанії CrowdStrike. Наші партнери, клієнти та організації будь-якого масштабу можуть отримати доступ до високоефективних продуктів CrowdStrike, зробивши запит пробної версії на нашому сайті.

Назад

Mobile Marketing
+