MSTIC: támadások mögött a GRU áll
A Microsoft az orosz katonai hírszerzést jelölte meg a lengyel és ukrán szállítási és logisztikai szervezeteket célzó múlt havi zsarolóvírus-támadások valószínűsíthető elkövetőjének. Ha a Microsoft Security Threat Intelligence Center (MSTIC) tagjainak értékelése helyes, az aggodalomra adhat okot az USA és európai kormányoknak. Lengyelország a NATO tagja és Ukrajna elkötelezett híve annak érdekében, hogy megakadályozza az orosz inváziót. A szoftvercégnek a kibertámadásokhoz köthető hackercsoportja – a szélesebb kutatói körökben Sandworm néven, a washingtoni Redmondban pedig Iridium néven ismert – a világ egyik legtehetségesebb és legpusztítóbb csoportja, és széles körben úgy tartják, hogy az orosz GRU katonai hírszerző ügynökség támogatja.
A múlt hónapban a Microsoft elemezte azt a támadást, ahol Lengyelország és Ukrajna szállítási és logisztikai szervezetei voltak olyan kibertámadások célpontjai, amelyek korábban nem látott zsarolóprogramot használtak, amit Prestige néven neveztek. A Microsoft szerint a fenyegetés szereplői már megszerezték az irányítást az áldozathálózatok felett. Aztán október 11-én egyetlen óra leforgása alatt a hackerek vetették be a Prestige ransomware-t.
A zsarolóprogram a fertőzött számítógép rendszerén lévő összes fájlt ellenőrízte és titkosította a .txt, .png, gpg és több mint 200 további kiterjesztésű fájlok tartalmát. A Prestige ezután hozzáfűzte az .enc kiterjesztést a fájl meglévő kiterjesztéséhez. A Microsoft a támadást egy ismeretlen fenyegetéscsoportnak tulajdonította, amelyet DEV-0960-nak neveztek el.
Csütörtökön a Microsoft frissítette a jelentést, és kijelenti, hogy a kriminalisztikai műtermékek, valamint a viktimológia, a kereskedelem, a képességek és az infrastruktúra átfedései alapján a kutatók megállapították, hogy a DEV-0960 nagy valószínűséggel az Iridium.
Tágabb értelemben fokozott kockázatot jelenthet a kelet-európai szervezetek számára, amelyekről az orosz állam úgy tekinthet, hogy a háborúhoz kapcsolódó támogatást nyújtanak.
Az MSTIC frissített jelentése szerint a Prestige kampány különbözik az elmúlt két hét pusztító támadásaitól, amelyek AprilAxe (ArguePatch)/CaddyWiper vagy Foxblade (HermeticWiper) néven nyomon követett rosszindulatú programokat használtak Ukrajna számos kritikus infrastruktúrája ellen. Eddig a kutatók azt mondták, hogy még mindig nem tudják, milyen fenyegető csoport áll ezeknek a cselekményeknek a hátterében, most már elegendő bizonyítékuk van ahhoz, hogy az Iridiumot a Prestige-támadások mögött álló csoportként azonosítsák.
A Microsoft jelenleg is értesíti azokat az ügyfeleket, akiket érintett a támadás.