针对乌克兰政府和商业实体的新破坏性恶意软件

周六，微软的网络安全团队透露，他们发现了一种新的破坏性恶意软件操作的证据，称为耳语门“针对乌克兰的政府、非营利和信息技术实体，乌克兰和俄罗斯之间的地缘政治紧张局势正在酝酿之中。

“恶意软件伪装成勒索软件，但如果被攻击者激活，将使受感染的计算机系统无法运行，”微软负责客户安全和信任的公司副总裁汤姆·伯特（Tom Burt）说。他补充说，入侵的目标是提供关键执行部门或应急响应功能的政府机构。

受恶意软件影响的还有一家IT公司，该公司“为公共和私营部门客户管理网站，包括其网站最近遭到破坏的政府机构，”伯特指出。

这家计算机巨头于1月13日首次检测到该恶意软件，并将这些攻击归因于一个新出现的威胁群集，该群集代号为“DEV-0586“在战术和程序上没有观察到与之前记录的其他组织有重叠。该公司进一步表示，在数十个受影响的系统上发现了该恶意软件，预计随着调查的继续，该数字还会增加。

According to Microsoft Threat Intelligence Center (MSTIC) and Microsoft Digital Security Unit (DSU), the attack chain is a two-stage process that entails —

• 覆盖主引导记录（MBR）和#8212；任何硬盘的第一个扇区，用于标识操作系统在磁盘中的位置，以便将其加载到计算机的RAM—；在受害者的系统上显示一张假赎金便条，敦促目标向比特币钱包支付1万美元
• 第二阶段可执行文件，用于检索托管在Discord频道上的文件腐蚀恶意软件，该频道旨在搜索具有189个不同扩展名的文件，然后使用固定数量的0xCC字节不可撤销地覆盖其内容，并使用看似随机的四字节扩展名重命名每个文件。

微软表示，该恶意活动与网络犯罪勒索软件活动“不一致”，原因是“现代犯罪勒索记录中很少指定明确的支付金额和加密货币钱包地址”，而且“本案中的勒索记录不包括自定义ID”。

这一事态发展发生之际，这个东欧国家的许多政府网站在周五遭到破坏，并发出消息警告乌克兰人，他们的个人数据正在上传到互联网上。乌克兰安全局（SSU）表示，它发现了与俄罗斯情报机构有关的黑客组织参与的“迹象”。

研究人员警告说：“鉴于所观察到的入侵规模，MSTIC无法评估已识别破坏性行动的意图，但确实认为这些行动对位于乌克兰境内或在乌克兰境内有系统的任何政府机构、非营利组织或企业构成了更高的风险。”。

然而，路透社今天早些时候提出，这些袭击可能是一个与白俄罗斯情报机构有关的间谍组织所为，该情报机构被追踪为UNC1151和Ghostwriter。“UNI1151对乌克兰政府实体进行了多次重大入侵，”网络安全公司MunnAtter在2021年11月的一份报告中指出，该组织的运作与白俄罗斯政府利益一致。