PathWiper-malware
En ny stamme af destruktiv malware, kaldet PathWiper, er blevet identificeret i målrettede cyberangreb rettet mod kritisk infrastruktur i Ukraine. Dens primære mål er klart: at forstyrre og lamme operationelle kapaciteter i landet.
Indholdsfortegnelse
Skjult implementering via legitime værktøjer
Angribere implementerede PathWiper-nyttelasten ved hjælp af et legitimt endpoint-administrationsværktøj. Denne leveringsmetode antyder, at trusselsaktørerne allerede havde opnået administrativ adgang til de målrettede systemer gennem et tidligere kompromitteret angreb, hvilket understreger sofistikeringen og planlægningen bag angrebet.
Attribution: En velkendt modstander vender tilbage
Cybersikkerhedsforskere, der undersøger hændelsen, har med stor sikkerhed tilskrevet angrebet til en avanceret, persistent trussel (APT) med tilknytning til Rusland. De observerede taktikker, teknikker og procedurer (TTP'er) ligner meget dem, der anvendes af Sandworm, en kendt trusselgruppe, der tidligere var ansvarlig for implementeringen af HermeticWiper i Ukraine.
PathWiper: En sandsynlig efterfølger til HermeticWiper
PathWiper har betydelige ligheder med HermeticWiper, hvilket tyder på, at det kan være en videreudvikling af den tidligere malware. Begge sigter mod at forårsage maksimal skade ved at beskadige kritiske systemdata, og overlapningen i adfærd antyder involvering af de samme eller nært beslægtede trusselsgrupper.
En flertrins angrebskæde
Malwaren udføres gennem en proces i flere trin:
- En Windows-batchfil udløser et skadeligt VBScript (uacinstall.vbs).
- Scriptet slipper og udfører kerne-nyttelasten (sha256sum.exe), forklædt til at ligne et legitimt administrativt værktøj for at undgå detektion.
Avanceret drevoptælling og volumensabotage
I modsætning til HermeticWiper, som fokuserede på at opregne fysiske drev, går PathWiper et skridt videre ved programmatisk at identificere alle tilsluttede drev, inklusive lokale, netværks- og frakoblede diskenheder. Den udnytter derefter Windows API'er til at frakoble disse diskenheder som forberedelse til sabotage.
Malwaren opretter tråde for hvert volumen for at overskrive vigtige NTFS-strukturer, hvilket effektivt gør systemer ubrugelige.
Målrettet destruktion af kernesystemfiler
Blandt de systemkomponenter, som PathWiper korrumperer, er:
- MBR (Master Boot Record): Indeholder bootloader og partitionstabel.
- $MFT (Master File Table): Vedligeholder indekset over alle filer og mapper.
- $LogFile: Sporer ændringer for integritet og gendannelse.
- $Boot: Gemmer oplysninger om bootsektor og filsystem.
Derudover overskrives fem andre kritiske NTFS-metadatafiler med tilfældige bytes, hvilket yderligere sikrer, at de berørte systemer ikke kan gendannes.
Ingen løsesum, ingen krav - kun ødelæggelse
Det er værd at bemærke, at angrebene, der involverer PathWiper, ikke omfatter nogen form for afpresning eller krav om løsepenge. Denne mangel bekræfter det primære mål: total afbrydelse af driften snarere end økonomisk gevinst.
Vinduesviskere: Et tilbagevendende værktøj i hybrid krigsførelse
Siden krigens begyndelse i Ukraine er dataviskere blevet et kendetegn for russiske cyberoperationer. Disse værktøjer er blevet anvendt i adskillige kampagner med ødelæggende effekt. Andre bemærkelsesværdige dataviskere, der er blevet brugt i opdagede angrebskampagner, inkluderer: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain og flere.
Hver af disse har spillet en rolle i en bredere strategi for destabilisering af ukrainsk infrastruktur gennem cyberkrigsførelse.
Konklusion: PathWiper markerer en farlig udvikling
PathWiper eksemplificerer den igangværende eskalering af destruktive cyberværktøjer, der bruges mod Ukraine. Med avancerede undvigelsesteknikker, dybdegående sabotage på systemniveau og tilskrivninger, der peger på kendte russiske terroristterrorister, repræsenterer det en betydelig trussel i landskabet af moderne cyberkonflikter.
