مایکروسافت بدافزار GigaWiper منتسب به گروه هکری مرتبط با ایران را شناسایی کرد
مایکروسافت از شناسایی بدافزار جدید GigaWiper خبر داد؛ بدافزاری که به گفته این شرکت، احتمالاً توسط گروه هکری مرتبط با ایران با نام CyberAv3ngers توسعه یافته و قادر است از رایانه کاربران جاسوسی کرده و اطلاعات آن را بهطور کامل نابود کند.
سه روش برای نابودی کامل رایانه
به گزارش تکرادار و بر اساس هشدار مایکروسافت، بدافزار GigaWiper با ترکیب چندین نوع مختلف از بدافزارها ساخته شده است و به نظر میرسد توسط گروه تهدید وابسته به دولت ایران با نام CyberAv3ngers توسعه یافته باشد. هکرها همچنین از طریق سازوکار مبهمسازی این بدافزار، طعنهای نیز به مایکروسافت زدهاند.
مایکروسافت همچنین توضیح داده است که این بدافزار میتواند درایو فیزیکی را بازنویسی کرده و جدول پارتیشن را پاک کند و به این ترتیب، محتوای دیسک را بهطور مستقیم از بین ببرد. علاوه بر این، بدافزار GigaWiper قادر است تمام فایلهای موجود روی درایو را رمزگذاری کند، پسوند .candy را به آنها اضافه کند و تصویر پسزمینه دسکتاپ را بهگونهای تغییر دهد که یک پیام هشدار نمایش داده شود. با این حال، برخلاف باجافزارهای متداول، این بدافزار هیچ یادداشت درخواست باجی نمایش نمیدهد و هیچ کلید رمزگشایی نیز تولید نمیکند. بنابراین، چیزی برای پرداخت وجود ندارد و هیچ راهی برای بازیابی فایلها از طریق رمزگشایی نیست؛ فایلها برای همیشه از دست میروند و تنها امیدی واهی به قربانیان داده میشود.
جاسوسی پیش از تخریب اطلاعات
در نهایت، بدافزار GigaWiper در سومین روش، مستقیماً درایو ویندوز را هدف قرار میدهد و با بازنویسی چندباره آن با الگوهای مختلف داده، موجب حذف کامل اطلاعات میشود. این بدافزار علاوه بر از کار انداختن دیسک، میتواند از قربانیان نیز جاسوسی کند؛ از جمله با گرفتن اسکرینشات، ضبط صفحهنمایش یا ایجاد یک نشست VNC برای پخش زنده فعالیتهای کاربر یا فراهم کردن امکان کنترل ماوس و صفحهکلید توسط مهاجمان. بدافزار GigaWiper همچنین قادر است اطلاعات سیستم را استخراج کند، برنامهها و سرویسها را مدیریت کند، رجیستری ویندوز را تغییر دهد و قابلیتهای دیگری نیز در اختیار مهاجمان قرار دهد.
پنهان شدن پشت OneDrive
اما شاید جالبترین ویژگی این بدافزار، نحوه پنهان شدن آن باشد. بدافزار GigaWiper یک وظیفه زمانبندیشده با نام OneDrive Update ایجاد میکند و اطلاعات خود را در یک کلید رجیستری با نام OneDrive\Environment ذخیره میکند. احتمالاً مهاجمان تصور کردهاند که معمولاً کسی توجه زیادی به OneDrive ندارد و به همین دلیل، بدافزار میتواند مدت بیشتری از دید کاربران و مدیران سیستم پنهان بماند.
در مورد عاملان این حمله، مایکروسافت نامی از آنها نبرده است، اما بیشتر مؤلفههایی که GigaWiper را تشکیل میدهند، پیشتر به گروه CyberAv3ngers نسبت داده شده بودند؛ گروهی که با سازمانهای اطلاعاتی ایران مرتبط دانسته میشود.