Новый вид вредоносного ПО wiper, нацеленного на украинскую инфраструктуру, связывают с пророссийскими хакерами, что является последним признаком меняющейся кибертактики Москвы.
Неустановленный объект критической инфраструктуры в Украине подвергся атаке неизвестного ранее штамма wiper, который исследователи из Cisco Talos назвали PathWiper.
В Talos заявили, что атака была совершена российской группой передовых постоянных угроз (APT) nexus, отмечая тактическое сходство с предыдущими пророссийскими операциями.
В нем также говорилось, что между PathWiper и HermeticWiper, одним из видов вредоносных программ, которые использовались в начале российского вторжения в Украину в 2022 году, есть общие черты.
Эти атаки с использованием HermeticWiper были решительно приписаны подразделению российской разведки Sandworm.По словам Талоса, и PathWiper, и HermeticWiper пытаются повредить главную загрузочную запись, а также артефакты, связанные с NTFS, но их механизмы повреждения существенно различаются.
«PathWiper программно идентифицирует все подключенные, включая отключенные, диски и тома в системе, определяет метки томов для проверки и документирует действительные записи.
«Это отличается от простого процесса HermeticWiper, который заключается в перечислении физических дисков от 0 до 100 и попытке их повреждения».
Талос сказал, что при обнаружении PathWiper злоумышленник уже контролировал систему администрирования конечных точек критически важной инфраструктуры организации, которая предполагает определенную степень изощренности.Исследователи не стали подробно описывать атаку, но при таком уровне доступа PathWiper мог быть широко развернут по всей сети организации, что привело бы к значительным разрушениям.
Вредоносная программа сначала перечисляет подключенные носители на конечной точке, включая имена физических дисков, имена томов и пути к ним, а также пути к сетевым дискам (общим и неразделенным).
«Как только вся информация о носителях будет собрана, PathWiper создает по одному потоку на каждый диск и том для каждого записанного пути и перезаписывает артефакты случайно сгенерированными байтами», — сказал Талос.
«Wiper считывает атрибуты нескольких файловых систем, например, следующие из New Technology File System (NTFS). Затем PathWiper перезаписывает содержимое/данные, относящиеся к этим артефактам, непосредственно на диск случайными данными.
«Перед перезаписью содержимого артефактов wiper также пытается отключить тома, используя ‘FSCTL_DISMOUNT_VOLUME IOCTL’ для объекта устройства MountPointManager. PathWiper также уничтожает файлы на диске, перезаписывая их случайными байтами.»
До вторжения России в Украину атака «дворников» в дикой природе была относительно редким явлением – возможно, одним из крупных инцидентов в неудачный год, – но после начала войны их использование резко возросло.
В первом квартале 2022 года исследователи отметили появление шести новых штаммов, которые привели к широкомасштабным сбоям в работе не только намеченных объектов, включая немецкие ветряные турбины.
Вредоносными программами были:
- WhisperKill/WhisperGate
- HermeticWiper
- IsaacWiper
- CaddyWiper
- DoubleZero
- AcidRain
Атаки в основном были нацелены на украинские организации – ключевая тема российской мультимодальной войны, в ходе которой проводились точечные атаки на местах, подкрепленные параллельными кибератаками.
Однако телекоммуникационный бизнес Viasat стал одной из наиболее заметных жертв пророссийских атак «дворников». Спустя несколько недель после того, как ее модемы были стерты, что привело к отключению доступа в Интернет (инцидент был приурочен к первым дням российского вторжения), было подтверждено, что в атаке использовалась вредоносная программа AcidRain wiper.
Использование Wiper было лишь одним из многих способов, которыми воспользовалась Россия. технологии для поддержки его операций на местах.
DDoS-атаки на украинские системы начались за десять дней до вторжения. За день до этого были задействованы «дворники», а позже в тот же день начались российские психологические атаки. От прямых рассылок украинским солдатам текстовых сообщений с требованием сдаться до рассылки фальшивых предупреждений о сбоях в работе банкоматов и использования технологии глубокой подделки, чтобы изобразить капитуляцию президента Владимира Зеленского, российское вторжение подготовило новый план начала военного времени в 21 веке.
Более трех лет спустя Путину все еще не удалось достичь своей цели по реинтеграции Украины в сферу российского влияния, хотя Россия сейчас контролирует пятую часть территории страны.
Несмотря на усилия Зеленского и к большому удовлетворению Кремля, Украина также не смогла стать членом НАТО – еще один шаг, который Путин стремился предотвратить с помощью войны. ®
