根据相关新闻机构的报导,乌克兰认为执行该攻击的是由白俄罗斯政府所操纵的UNC1151黑客集团,但背后真正的主使者是俄罗斯。
针对乌克兰政府网站的攻击行为被怀疑是与俄罗斯有关
乌克兰在上周三(1/13)开始遭到大规模的网络攻击,黑客入侵众多政府网站并窜改网页,使得乌克兰紧急关闭这些政府网站,《Bleeping Computer》表示至少有15个乌克兰公共组织的网站被骇,而部分其他新闻机构则表示,遭黑的政府网站达70个,包括教育部及外交部等。而不管乌克兰或外界都怀疑此一攻击行动与俄罗斯政府有关。
近来俄罗斯与乌克兰的关系恶化,最近几周俄罗斯还在双方边界部署了坦克车、炮兵与10万名士兵,愈发使得乌克兰向美国与欧洲靠拢。
黑客入侵后以个人信息泄露来威胁乌克兰民众
黑客在所入侵的乌克兰政府网站上以乌克兰语、俄语及波兰文张贴了讯息,指出乌克兰民众的所有个人资料都已经被移除,无法再复原,且所有的个资都会被公诸于世,民众应该要感到害怕,并期待最坏的状况。
然而,负责乌克兰通讯及信息保护的政府官员Viktor Zhora表示,被入侵的网站的内容并未被危害,亦无外泄重要资料。
微软察觉到针对乌克兰的黑客攻击行为
微软在13日察觉有黑客针对乌克兰展开大规模的网络攻击,分析后将攻击所使用的恶意程序称为WhisperGate,并说攻击行动中虽然出现勒索信件,却只是掩人耳目,因为它实际上破坏的是计算机主开机纪录与特定档案的内容。
微软威胁情报中心把这次的攻击行动命名为DEV-0586,并未发现这次的攻击行动与已知的黑客集团有关,也无从评估黑客的意图。不过,此一攻击至少扩及乌克兰的数十个系统,涵盖政府机构、非营利组织及信息科技组织,迄今尚无法确定实际的损害规模。
黑客的勒索行为比较反常,不太合理
根据MTIC针对此一网络攻击行动的分析,黑客的第一步是窜改MBR并显示假的勒索信件,有多个迹象显示黑客并未真正植入勒索软件,例如它仅窜改MBR但并未具备复原机制;或者是在勒索信中罕见地公布了赎金金额与加密货币电子钱包位址;以及它仅提供了一个Tox ID作为联系窗口,一般而言,黑客为了方便与受害者交流,都会设立一个支援论坛或是提供电子邮件账号;再加上黑客并未于勒索信中建立客户ID,代表黑客根本无从得知要以哪个解密金钥替受害者解锁。
第二步则是下载了可用来破坏档案的恶意程序,执行后它会变更特定档案的副档名,并覆盖相关档案的内容,再变更其文件名称。
目前微软已于Microsoft Defender Antivirus及Microsoft Defender for Endpoint中添增了对WhisperGate的侦测与防堵能力,同时公布了WhisperGate的危害指标供外界参考。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
