微软公司发布警报称，新一波数据擦除恶意软件（代号DEV-0586）正在袭击乌克兰多个政府部门、信息技术机构等，目前已有数十个系统感染；就在前一天，乌克兰政府还遭遇了大规模网络攻击，大量政府网站内容被篡改为“数据窃取和泄露言论”，官方随后辟谣未发生数据泄露；乌克兰政府将此次网络攻击归咎为白俄罗斯威胁组织UNC1151，并认为该行动与俄罗斯有关联。

在上周五政府网站遭遇大规模网络攻击后，乌克兰又沦为数据擦除恶意软件的攻击目标。这种恶意软件在效果上与勒索软件非常相似，关键区别是受损数据根本无法恢复。乌克兰官员很快将矛头指向嫌疑人白俄罗斯。

根据微软1月15日发布的警报，这一波新的恶意软件浪潮已经“席卷多个政府部门、非营利组织与信息技术机构。”恶意软件会擦除目标Windows系统中的主引导记录，使其无法运行。其主要可执行文件“通常”命名为stage1.exe，通过Impacket下发执行。攻击过程的第二阶段，该擦除器的stage2.exe会横冲直撞般地扫荡系统中的其余部分，覆盖从Word文档到网页（.HTML与.PHP文件）、图像与数据库等所有内容。它会搜索多种文件扩展名，并“使用固定数量的0xCC字节（总计1 MB）”覆盖文件的内容。微软威胁情报中心（MSTIC）表示，这种擦除器在设计上与勒索软件高度类似，甚至会留下带有比特币钱包地址的勒索信，要求受害者支付1万美元。更重要的是，勒索信中还列出了一个Tox即时通讯地址。虽然符合勒索软件的种种特征，但这个被微软命名为DEV-0586、明显出于有组织团伙之手的擦除器却并不具备任何恢复机制。MSTIC补充称，该擦除器“就是要强调破坏性，令目标设备无法正常操作”。

截至目前，据称该擦除器已经感染了“数十个”系统。

就在此次擦除器恶意软件袭来的前一天，1月14日还发生了一起备受瞩目的大型网站篡改事件，导致多个乌克兰政府网站受到影响。网站上的常规内容被以波兰语、俄语及乌克兰语编写的通知所取代，内容是宣告目标机构中的个人数据已遭窃取、并将被公布在互联网上。但乌克兰随后辟谣，强调没有实际发生数据盗窃事件。

2021年10月，乌克兰政府常用的网站内容管理系统（基于Laravel框架的OctoberCMS）被曝出评分6.4分的密码重置漏洞，当时OctoberCMS已发布新版本进行修复。乌克兰CERT表示，攻击者利用该漏洞实施了入侵。

上周末，乌克兰国家安全与国防委员会副秘书长Serhiy Demedyuk将此次黑客攻击归咎于白俄罗斯。

他对路透社表示，此次攻击的幕后黑手正是威胁组织UNC1151，曾实施过Ghostwriter信息行动。“这是一支隶属于白俄罗斯共和国特殊行动部门的网络间谍组织……用于加密我国部分政府服务器的恶意软件，与ATP29组织所使用的恶意软件具有相同特征。”

Demedyuk在采访中直接点名了俄罗斯对外情报局（SVR）在网络安全行业的代号（APT29）。白俄罗斯最近正着力加强与俄罗斯之间的政治联系，在俄罗斯的指挥下利用俄罗斯工具开展网络攻击也不是没有可能。也许这意味着又一波指向乌克兰的冲突正在酝酿，甚至会将冲突烈度推向新的层面。

声明：本文来自互联网，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。

最新资讯

线上开工 | 最全面的高效远程办公指南

加密电子邮件是最安全高效的工作通信方式

齐心战“疫”：密信收费服务全免费，共度疫情难关

2019 “国密证书全生态应用”大事记

密信APP发布集成免费电子签名服务-“我签(MeSign)”的正式版

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书