SwiftSlicer

Ukrajina sa nedávno stala terčom nového kybernetického útoku z Ruska, ktorý zahŕňal použitie neznámeho stierača údajov s názvom SwiftSlicer, ktorý je napísaný v jazyku Golang. Predpokladá sa, že útok bol riadený spoločnosťou Sandworm , štátom podporovanou hackerskou skupinou, ktorá vykazuje väzby na vojenskú jednotku 74455 GRU (Hlavné spravodajské riaditeľstvo Generálneho štábu Ozbrojených síl Ruskej federácie). Podrobnosti o hrozivej kampani a hrozbe SwiftSlicer zverejnili výskumníci kybernetickej bezpečnosti.

Hrozivé schopnosti SwiftSlicer

Škodlivé narušenie nasadzujúce SwiftSlicer bolo zistené 25. januára 2023. Na splnenie svojich cieľov kyberzločinci využili skupinovú politiku Active Directory. Po spustení SwiftSlicer jeho poškodený kód odstráni všetky tieňové kópie zväzkov súborov a rekurzívne prepíše súbory umiestnené v %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS a iných nesystémových jednotkách nájdených na poškodených zariadeniach. Cieľové súbory sú zničené prepísaním náhodne generovanými bajtovými sekvenciami s dĺžkou 4 096 bajtov. Po dokončení tohto procesu sa infikované zariadenia reštartujú.

Hackeri Sandwork sa naďalej zameriavajú na organizácie na Ukrajine

Ruský protikandidátsky kolektív Sandworm bol spájaný s používaním variantov stieracieho malvéru pri útokoch, ktorých cieľom bolo spôsobiť narušenie a zničenie Ukrajiny. Táto skupina, známa aj ako BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots a Voodoo Bear, je aktívna od roku 2007 a je zodpovedná za celý rad sofistikovaných kybernetických kampaní zameraných na organizácie po celom svete. Príklady ich vlastných nástrojov zahŕňajú BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel a Cyclops Blink .

Len v roku 2022 spustili WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige a RansomBoggs proti kritickej infraštruktúre na Ukrajine. To sa zhoduje s ruskou vojenskou inváziou do krajiny. Ukrajinský tím Computer Emergency Response Team (CERT-UA) nedávno spojil Sandworm s pokusom o kybernetický útok na Ukrinform – národnú tlačovú agentúru – ktorý sa uskutočnil najneskôr 7. decembra 2022. V tento útok: CaddyWiper ; ZeroWipe; SDelete; AwfulShred a BidSwipe – zacielenie na zariadenia FreeBSD, Windows a Linux.