Finalmente si stanno chiarendo i dettagli tecnici dell'attacco contro i siti governativi ucraini che è andato in scena una decina di giorni orsono. I ricercatori del Microsoft Threat Intelligence Center (MSTIC) hanno scoperto che lo strumento usato dagli attaccanti è un malware distruttivo soprannominato WhisperGate.

Tecnicamente WhisperGate viene definito malware wiper (dall’inglese to wipe, cancellare). Non è un tipo di strumento usuale, quindi vale la pena spiegare di che cosa si tratta. Prendendo in prestito la interessante trattazione che fece a suo tempo Costin Raiu, direttore del dipartimento di ricerca di Kaspersky Lab, ci sono tre categorie di malware. La prima è quella dei crimeware, che raduna la maggioranza dei programmi nocivi usati per trarre profitto dal furto di credenziali, dati e risorse o ottenere direttamente denaro. La seconda categoria di software è progettata per lo spionaggio informatico.

La terza categoria è molto più piccola ma pericolosissima: i malware wiper. Sono distruttivi e, secondo Raiu, hanno la capacità di cancellare decine di migliaia di dati da migliaia di computer con un solo clic, il che li rende una delle armi cyber più potenti, capaci di avere un effetto devastante.

WhisperGate appartiene a quest'ultima categoria, e secondo Microsoft rispetto a NotPetya ha maggiori capacità "progettate per infliggere danni aggiuntivi". Com'è entrato nei sistemi ucraini? La risposta arriva dai ricercatori di Cisco Talos, secondo i quali sono state delle credenziali rubate ad aprire le porte all'aggressione informatica.

Secondo Cisco Talos, inoltre, sono due i wiper impiegati negli attacchi in Ucraina. Il primo ha tentato di distruggere il Master Boot Record e di mettere fuori uso eventuali opzioni di ripristino. Nella seconda fase, un downloader ha estratto il codice necessario per avviare la terza fase in cui è stato eseguito un comando PowerShell che ha mandato in sospensione gli endpoint per 20 secondi, giusto il tempo di attivare un offuscatore e attivare una libreria che ha scaricato il payload di attacco.

A questo punto è iniziata l'ultima fase di attacco, con la distruzione dei file e la loro sovrascrittura. Un attacco ben orchestrato che potrebbe avere conseguenze importanti, al di là del defacement dei siti. Per questo la CISA ha raccomandato a tutte le organizzazioni in qualche modo legate con l'Ucraina di implementare l'autenticazione a più fattori per tutti i sistemi remoti, disabilitare le porte e i punti di accesso che non sono business-critical e attivare controlli rafforzati per i servizi cloud in modo da mitigare il rischio di compromissione.

Non ultimo, Cisco Talos ammonisce circa il fatto che gli attaccanti potrebbero verosimilmente avere avuto accesso ad alcune reti target per settimane, mesi o più a lungo, quindi le informazioni trafugate potrebbero essere moltissime e di elevata criticità. Sul sito Microsoft indicato sopra sono presenti anche gli Indicatori di Compromissione.