SwiftSlicer

Украйна наскоро беше обект на нова кибератака от Русия, която включваше използването на неизвестен чистач на данни, наречен SwiftSlicer, който е написан на Golang. Смята се, че атаката е управлявана от Sandworm , спонсорирана от държавата хакерска група, която показва връзки с военно поделение 74455 на ГРУ (Главно разузнавателно управление на Генералния щаб на въоръжените сили на Руската федерация). Подробности за заплашителната кампания и заплахата SwiftSlicer бяха публикувани от изследователи по киберсигурност.

Заплашващите възможности на SwiftSlicer

Вредното проникване, внедряващо SwiftSlicer, беше открито на 25 януари 2023 г. За да изпълнят целите си, киберпрестъпниците експлоатираха груповата политика на Active Directory. След като SwiftSlicer бъде изпълнен, повреденият му код ще изтрие всички Shadow Volume Copies на файлове и рекурсивно презапише файлове, намиращи се в %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS и други несистемни дискове, открити на пробитите устройства. Целевите файлове се унищожават чрез презаписване с произволно генерирани последователности от байтове с дължина 4096 байта. След като този процес приключи, заразените устройства ще се рестартират.

Хакерите Sandwork продължават да се насочват към украински организации

Руският противников колектив, Sandworm, е свързан с използването на варианти на зловреден софтуер за чистачки в атаки, предназначени да причинят смущения и разрушения в Украйна. Тази група, известна също като BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots и Voodoo Bear, е активна от 2007 г. и отговаря за набор от сложни кибер кампании, насочени към организации по целия свят. Примери за техните персонализирани инструменти включват BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel и Cyclops Blink .

Само през 2022 г. те стартираха WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige и RansomBoggs срещу критична инфраструктура в Украйна. Това съвпада с военното нахлуване на Русия в страната. Екипът за компютърно реагиране при извънредни ситуации на Украйна (CERT-UA) наскоро свърза Sandworm с опит за кибератака срещу Ukrinform – националната новинарска агенция – която се проведе не по-късно от 7 декември 2022 г. Пет различни инструмента за злонамерен софтуер за изтриване на данни бяха използвани в тази атака: CaddyWiper ; ZeroWipe; SDdelete; AwfulShred и BidSwipe - насочени към FreeBSD, Windows и Linux устройства.