Malware PathWiper

V rámci cílených kybernetických útoků zaměřených na kritickou infrastrukturu na Ukrajině byl identifikován nový kmen destruktivního malwaru s názvem PathWiper. Jeho primární cíl je jasný: narušit a ochromit operační schopnosti v zemi.

Nenápadné nasazení pomocí legitimních nástrojů

Útočníci nasadili datovou zátěž PathWiper pomocí legitimního nástroje pro správu koncových bodů. Tato metoda doručení naznačuje, že útočníci již získali administrativní přístup k cílovým systémům prostřednictvím předchozí kompromitace, což zdůrazňuje sofistikovanost a plánování útoku.

Atribuce: Návrat známého protivníka

Výzkumníci v oblasti kybernetické bezpečnosti, kteří incident vyšetřují, s vysokou mírou jistoty připsali útok pokročilé perzistentní hrozbě (APT) spojené s Ruskem. Pozorované taktiky, techniky a postupy (TTP) se velmi podobají taktikám, technikám a postupům skupiny Sandworm, známé skupiny, která byla dříve zodpovědná za nasazení kybernetického wiperu HermeticWiper na Ukrajině.

PathWiper: Pravděpodobný nástupce HermeticWiper

PathWiper sdílí značné podobnosti s HermeticWiperem, což naznačuje, že by se mohlo jednat o vývoj tohoto dřívějšího malwaru. Oba se snaží způsobit maximální škody poškozením kritických systémových dat a překrývání v chování naznačuje zapojení stejných nebo blízce souvisejících shluků hrozeb.

Vícestupňový útočný řetězec

Malware se spouští prostřednictvím několika fází:

• Dávkový soubor systému Windows spouští škodlivý VBScript (uacinstall.vbs).
• Skript odstraní a spustí základní datovou zátěž (sha256sum.exe) maskovanou tak, aby připomínala legitimní nástroj pro správu, aby se vyhnula detekci.

Pokročilé výčty disků a sabotáž svazků

Na rozdíl od HermeticWiperu, který se zaměřoval na výčet fyzických disků, PathWiper jde ještě o krok dál a programově identifikuje všechny připojené disky, včetně lokálních, síťových a odpojených svazků. Poté využívá rozhraní API systému Windows k odpojení těchto svazků v rámci přípravy na sabotáž.

Malware vytváří pro každý svazek vlákna, která přepisují základní struktury NTFS, čímž efektivně znefunkční systémy.

Cílené zničení základních systémových souborů

Mezi systémové komponenty, které PathWiper poškozuje, patří:

• MBR (Master Boot Record): Obsahuje bootloader a tabulku oddílů.
• $MFT (Master File Table): Uchovává index všech souborů a adresářů.
• $LogFile: Sleduje změny z hlediska integrity a obnovy.
• $Boot: Ukládá informace o bootovacím sektoru a souborovém systému.

Kromě toho je pět dalších kritických souborů metadat NTFS přepsáno náhodnými bajty, což dále zajišťuje, že postižené systémy nelze obnovit.

Žádné výkupné, žádné požadavky - pouze zničení

Je pozoruhodné, že útoky zahrnující PathWiper nezahrnují žádnou formu vydírání ani požadavku na výkupné. Tato absence potvrzuje primární cíl: úplné narušení provozu, nikoli finanční zisk.

Stěrače: Opakující se nástroj v hybridní válce

Od začátku války na Ukrajině se datové stírače staly charakteristickým znakem ruských kybernetických operací. Tyto nástroje byly nasazeny v řadě kampaní s ničivým účinkem. Mezi další významné datové stírače použité v detekovaných útočných kampaních patří: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain a další.

Každý z nich sehrál roli v širší strategii destabilizace ukrajinské infrastruktury prostřednictvím kybernetické války.

Závěr: PathWiper představuje nebezpečný vývoj

PathWiper je příkladem pokračující eskalace destruktivních kybernetických nástrojů používaných proti Ukrajině. Díky pokročilým technikám obcházení, hluboké sabotáži na systémové úrovni a atribuci ukazující na známé ruské APT představuje významnou hrozbu v prostředí moderního kybernetického konfliktu.