先週のウェブサイト改ざん事件に続き、ウクライナはブートレコードを消去するマルウェアの標的となっている。このマルウェアはランサムウェアに似ているが、決定的な違いが一つある。それは、復旧手段がないことだ。当局はベラルーシをその標的にしている。
ベラルーシ、ミンスクの独立広場の噴水
マイクロソフトが週末に出した警告によると、この新たなマルウェアの波の標的は「複数の政府機関、非営利団体、情報技術組織に及んでいる」という。
マルウェア自体は、標的の Windows システムのマスター ブート レコードを消去して動作不能にします。その主な実行ファイルは、Impacket によって実行される stage1.exe という名前になることが多いです。
ワイパーの第2段階であるstage2.exeは、システムの残りの部分を荒らし回り、Wordファイルからウェブページ(.HTMLおよび.PHPファイル)、画像、データベースに至るまで、あらゆるものを上書きします。膨大なファイル拡張子のリストを検索し、ファイルの内容を「固定数の0xCCバイト」で合計1MB上書きします。
レドモンド大学の情報セキュリティ対策部門である脅威インテリジェンスセンター(MSTIC)によると、このワイパーはランサムウェアを装い、ビットコインウォレットのアドレスを記載した身代金要求メッセージを送りつけ、被害者に1万ドルの送金を促しているという。さらに、身代金要求メッセージにはToxのインスタントメッセージアドレスも記載されている。
マイクロソフトがDEV-0586と名付けたグループによって展開されたこのワイパーは、上記の機能を備えているにもかかわらず、身代金回収メカニズムを備えていません。MSTICは、このワイパーは「破壊的な目的を持ち、標的のデバイスを動作不能にすることを目的として設計されている」と付け加えています。
これまでのところ、このワイパーは「数十」のシステムに感染したと言われている。
このマルウェアは、1月14日金曜日に発生した、ウクライナ政府機関の複数のウェブサイトが影響を受けた、注目を集めたウェブサイト改ざん事件を受けて発生した。通常のコンテンツは、標的となった機関から個人情報が盗まれ、オンライン上に流出したことを告げるポーランド語、ロシア語、ウクライナ語の通知に置き換えられた。ウクライナはその後、そのような盗難は発生していないと発表した。
- ロシアの諜報機関SVRがネットワークに侵入したらどうなるか、米国CISA情報セキュリティ機関が語る
- ロシアのスパイがSolarWindsのハッキングを利用して米国の防諜情報を盗んだと報じられている
- ロシアのサイバースパイは、英国と米国がその技術を暴露した後、戦術を変えた。その変化を以下にリストアップする。
- 謎のトラフィックリダイレクト攻撃により、ベラルーシとアイスランドを経由するネットトラフィックが流出
- ロシア諜報機関が西側諸国にマルウェアを送り込むために使用しているサーバー30台をRiskIQが公開
- ベラルーシは、ベラルーシの国境内にある、ベラルーシよりも優れた架空の国に宣戦布告した。
- 彼はRSA-1024暗号を解読したのではなく、非常に悪質なベラルーシのランサムウェア仲介人です
政府推奨のウェブサイトコンテンツ管理システムである 10 月の CMS にパッチが適用されていない 6.4 レベルの CVE が存在し、これが攻撃者の侵入を許した。
誰がやった?ロシアではなくベラルーシだとウクライナが主張
ウクライナの国家安全保障防衛会議のセルヒー・デメディウク副議長は週末、ハッキング事件の責任はベラルーシにあると主張した。
同氏はロイター通信に対し、そのグループは脅威グループUNC1151、別名情報工作グループ「ゴーストライター」だと語り、「これはベラルーシ共和国の特殊部隊と関係のあるサイバースパイグループだ。一部の政府サーバーを暗号化するのに使われた悪意あるソフトウェアは、ATP-29グループが使っているものと特徴が非常に似ている」と語った。
デメジュク氏の発言は、ロシアの諜報機関SVRの業界用語である「SVR」を引用している。最近ロシアとの政治的関係を強化したベラルーシが、ロシアの指示の下、ロシアのツールを用いてサイバー攻撃を実行しているとすれば、これはウクライナでくすぶる紛争に新たな側面を加えることになるだろう。®
