Indicatorii tehnici sugerează că un atac cibernetic care a lovit Rusia și alte țări săptămâna aceasta a fost efectuat de hackeri în spatele unui atac similar, dar mai mare asupra Ucrainei, în iunie, cercetătorii de securitate care au analizat cele două campanii, au declarat miercuri.
Compania rusă IBM-Cyber Group-IB a declarat că virusul BadRabbit utilizat în atacul acestei săptămâni a împărțit o piesă cheie de cod cu malware-ul NotPetya care a afectat întreprinderile din Ucraina și din întreaga lume la începutul acestui an, sugerând că același grup a fost responsabil.
Atacul BadRabbit a lovit Rusia, Ucraina și alte țări marți, prin preluarea agenției rusești Interfax și întârzierea zborurilor pe aeroportul Odesa din Ucraina.
Multi anchetatori de securitate cibernetică au legat cele două atacuri, invocând asemănări în metodele de codificare și hacking malware, dar nu au fost atribuite directe.
Totuși, experții avertizează că atribuirea atacurilor cibernetice este notorie dificilă, deoarece hackerii folosesc în mod regulat tehnici pentru a-și acoperi traseul și, uneori, înșelă în mod deliberat anchetatorii cu privire la identitatea lor.
Cercetătorii de securitate de la unitatea Talos de la Cisco au declarat că BadRabbit a născut unele asemănări cu NotPetya, deoarece ambele au fost bazate pe același program malware, dar părți mari de cod au fost rescrise și noua metodă de distribuire a virusului a fost mai puțin sofisticată.
Ei au confirmat că BadRabbit a folosit un instrument de hacking numit Eternal Romance, considerat a fi fost dezvoltat de către Agenția Națională de Securitate din SUA (NSA), înainte de a fi furat și scurs online în aprilie.
NotPetya a angajat, de asemenea, Eternal Romance, precum și un alt instrument NSA numit Eternal Blue. Dar Talos a spus că au fost folosite într-un mod diferit și că nu există nici o dovadă că Bad Rabbit conține Eternal Blue.
“Este foarte probabil ca acelasi grup de hackeri sa fi fost in urma atacului ransomware BadRabbit pe 25 octombrie 2017 si a epidemiei virusului NotPetya care a atacat sectorul energetic, telecomunicatiilor si financiar in Ucraina in iunie 2017” – a spus într-un raport tehnic.
Matthieu Suiche, un hacker francez și fondator al firmei de securitate informatică Comae Technologies din Emiratele Arabe Unite, a declarat că a fost de acord cu evaluarea grupului IB “motive serioase să considerăm” că BadRabbit și NotPetya au fost create de aceiași oameni.
Dar unii experți au spus că această concluzie este surprinzătoare deoarece atacul NotPetya este considerat a fi fost realizat de Rusia, afirmația Moscovei.
Oficialii ucraineni au declarat că atacul NotPetya a vizat în mod direct Ucraina și a fost efectuat de un grup de hacking cunoscut sub numele de Black Energy, despre care unii experți cibernetici spun că lucrează în favoarea intereselor guvernului rus. Moscova a negat în mod repetat efectuarea de atacuri cibernetice împotriva Ucrainei.
Majoritatea victimelor BadRabbit au fost în Rusia, doar câteva în alte țări, cum ar fi Ucraina, Bulgaria, Turcia și Japonia.
Grupul IB a spus că unele părți ale virusului BadRabbit datează de la mijlocul anului 2014, sugerând însă că hackerii au folosit instrumente vechi de la atacurile anterioare. “Aceasta corespunde perioadelor de timp BlackEnergy, deoarece grupul și-a început activitatea în 2014”, a spus acesta.
Leave a Reply