بدافزار جدید FoxBlade پیش قراول ارتش روسیه

شرکت مایکروسافت (.Microsoft Corp) در گزارشی اعلام نمود که چند ساعت قبل از حمله روسیه به اوکراین، شبکه‌های اوکراینی با بدافزار FoxBlade مورد هدف حملات سایبری تهاجمی و مخرب قرار گرفتند.

محققان مایکروسافت حملات مخربی را شناسایی کردند که در آن بدافزار FoxBlade، شبکه‌ها و زیرساخت‌های دیجیتال اوکراین را مورد هدف قرار داده است (پویش بدافزار مذکور در سایت Virus Total در نشانی زیر قابل مشاهده می‌باشد).

https://www.virustotal.com/gui/file/06086c1da4590dcc7f1e10a6be3431e1166286a9e7761f2de9de79d7fda9c397

این بدافزار قبلاً توسط شرکت‌های امنیت سایبری سیمانتک (.Symantec, Corp) و ای‌ست (.ESET, LLC)، یک روز قبل از شروع درگیری بین روسیه و اوکراین مشاهده و گزارشی در خصوص آن منتشر شد. مشروح این گزارش که در آن از HermeticWiper برای نامگذاری بدافزار استفاده شده، به همراه علایم آلودگی (Indicators of Compromise – به اختصار IoC) در نشانی زیر قابل مطالعه می‌باشد.

https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/

مهاجمان در این حملات، اهداف دیجیتالی غیرنظامی اوکراین، از جمله بخش‌های مالی، کشاورزی، خدمات واکنش اضطراری، کمک‌های بشر دوستانه، سازمان‌ها و شرکت‌های بخش انرژی را مورد هدف قرار داده‌اند. مایکروسافت همچنین به دولت اوکراین در خصوص تلاش‌ مهاجمان جهت سرقت داده‌ها از منابع دولتی نظیر اطلاعات مراقبت‌های بهداشتی، داده‌های بیمه، حمل‌ونقل و سایر اطلاعات شناسایی اشخاص هشدار داد و توصیه‌های فنی در خصوص روش‌های پیشگیری و محافظت در برابر این بدافزار را در نشانی‌های زیر ارائه نمود.

https://blogs.microsoft.com/on-the-issues/2022/02/28/ukraine-russia-digital-war-cyberattacks/

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=DoS:Win32/FoxBlade.A!dha

در حال حاضر، نحوه نفوذ و آلودگی اولیه بدافزار FoxBlade مشخص نیست ولی این بدافزار بعد از آلودگی سیستم، امکان دریافت فایل‌های مخرب بیشتر را داشته تا سرعت انتشار آلودگی را افزایش ‌دهد.

بدافزار FoxBlade عملیات مختلفی را بر روی سیستم‌های آلوده انجام می‌دهد. از جمله می‌تواند اقدام به تخریب و حذف اطلاعات نماید و یا از سیستم قربانی برای انجام حملات DDOS سوءاستفاده کند.

شرکت مایکروسافت سرویس ضدبدافزار Defender خود را ظرف سه ساعت پس از کشف FoxBlade بروزرسانی نمود تا فعالیت مخرب آن را مسدود سازد.

آژانس دولتی “امنیت سایبری و امنیت زیرساخت آمریکا” (Cybersecurity & Infrastructure Security Agency – به اختصار CISA) و “پلیس فدرال آمریکا” (Federal Bureau of Investigation – به اختصار FBI) در نشانی زیر هشدار دادند که حملات تخریب داده‌ها که علیه کشور اوکراین صورت گرفته، ممکن است خواسته یا ناخواسته به کشورهای دیگر نیز سرایت کند و ضروری است سازمان‌های مختلف در باقی کشورها هوشیار بوده و سیستم‌های امنیتی خود را تقویت کنند.

https://www.cisa.gov/uscert/ncas/alerts/aa22-057a