Зловреден софтуер PathWiper

Нов щам на разрушителен зловреден софтуер, наречен PathWiper, е идентифициран при целенасочени кибератаки, насочени към критична инфраструктура в Украйна. Основната му цел е ясна: да наруши и осакати оперативните възможности в страната.

Скрито внедряване чрез легитимни инструменти

Атакуващите са внедрили полезния товар PathWiper, използвайки легитимен инструмент за администриране на крайни точки. Този метод на доставка предполага, че злонамерените лица вече са получили административен достъп до целевите системи чрез предходно компрометиране, което подчертава сложността и планирането зад атаката.

Приписване: Завръщането на познат противник

Изследователи по киберсигурност, разследващи инцидента, с висока степен на сигурност приписват атаката на свързана с Русия напреднала постоянна заплаха (APT). Наблюдаваните тактики, техники и процедури (TTP) много наподобяват тези на Sandworm, известна хакерска група, отговорна преди за разполагането на HermeticWiper в Украйна.

PathWiper: Вероятен наследник на HermeticWiper

PathWiper споделя значителни прилики с HermeticWiper, което предполага, че може да е еволюция на този по-ранен зловреден софтуер. И двата се стремят да нанесат максимални щети чрез повреждане на критични системни данни, а припокриването в поведението предполага участието на едни и същи или тясно свързани клъстери от заплахи.

Многоетапна верига за атака

Зловредният софтуер се изпълнява чрез многоетапен процес:

• Пакетен файл на Windows задейства злонамерен VBScript (uacinstall.vbs).
• Скриптът сваля и изпълнява основния полезен товар (sha256sum.exe), маскиран да прилича на легитимен административен инструмент, за да избегне откриването.

Разширено изброяване на дискове и саботаж на томове

За разлика от HermeticWiper, който се фокусираше върху изброяване на физически дискове, PathWiper отива една крачка напред, като програмно идентифицира всички свързани дискове, включително локални, мрежови и демонтирани томове. След това използва Windows API, за да демонтира тези томове в подготовка за саботаж.

Зловредният софтуер създава нишки за всеки том, за да презапише основни NTFS структури, като по този начин ефективно прави системите неработещи.

Целенасочено унищожаване на основните системни файлове

Сред системните компоненти, които PathWiper поврежда, са:

• MBR (главен запис за зареждане): Съдържа зареждащия механизъм и таблица на дяловете.
• $MFT (Главна файлова таблица): Поддържа индекса на всички файлове и директории.
• $LogFile: Проследява промените за целостност и възстановяване.
• $Boot: Съхранява информация за boot сектора и файловата система.

Освен това, пет други критични файла с метаданни на NTFS се презаписват със случайни байтове, което допълнително гарантира, че засегнатите системи не могат да бъдат възстановени.

Без откуп, без искания - само унищожение

Забележително е, че атаките, включващи PathWiper, не включват никаква форма на изнудване или искане за откуп. Това отсъствие потвърждава основната цел: пълно прекъсване на операциите, а не финансова печалба.

Чистачките: Повтарящ се инструмент в хибридната война

От началото на войната в Украйна, инструментите за изтриване на данни се превърнаха в отличителен белег на руските кибероперации. Тези инструменти са използвани в множество кампании с опустошителен ефект. Други забележителни инструменти, използвани в кампании за засечени атаки, включват: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain и други.

Всяко от тях е играло роля в по-широка стратегия за дестабилизиране на украинската инфраструктура чрез кибервойна.

Заключение: PathWiper бележи опасна еволюция

PathWiper е пример за продължаващата ескалация на разрушителните кибер инструменти, използвани срещу Украйна. С усъвършенствани техники за избягване, дълбок саботаж на системно ниво и приписване на известни руски APT, той представлява сериозна заплаха в пейзажа на съвременния киберконфликт.