Νέο καταστροφικό κακόβουλο λογισμικό που χρησιμοποιείται σε κυβερνοεπιθέσεις στην Ουκρανία
Καθώς ο πόλεμος στην Ουκρανία συνεχίζεται, με αναφορές για τις τελευταίες καταστροφές στην πρωτεύουσα του Κιέβου και την απαγόρευση κυκλοφορίας που επιβλήθηκε από τον τοπικό δήμαρχο, η μάχη μαίνεται και στον κυβερνοχώρο. Ερευνητές ασφαλείας ανέφεραν χθες ότι ένα νέο είδος καταστροφικού κακόβουλου λογισμικού εντοπίστηκε σε πολλά δίκτυα της Ουκρανίας.
Το νέο κακόβουλο λογισμικό λειτουργεί ως υαλοκαθαριστήρας, χωρίς να προσπαθεί να εξάγει δεδομένα ή να τα κρυπτογραφήσει όπως κάνει το ransomware. Αντίθετα, τα απειλητικά εργαλεία υαλοκαθαριστήρων απλώς διαγράφουν ό,τι μπορούν και σκουπίζουν τον χώρο για να αποτρέψουν την ανάκτηση δεδομένων.
Το CaddyWiper διαγράφει αρχεία, κατατμήσεις
Το εργαλείο που ανακαλύφθηκε πρόσφατα ονομάστηκε CaddyWiper και περιγράφεται λεπτομερώς σε μια ανάρτηση στο Twitter από ερευνητές κακόβουλου λογισμικού. Αυτός είναι ο τρίτος απειλητικός υαλοκαθαριστήρας που ανακαλύφθηκε στη φύση στην Ουκρανία από την έναρξη της στρατιωτικής σύγκρουσης στη χώρα. Περιέργως, αποδείχθηκε ότι το ωφέλιμο φορτίο του CaddyWiper ήταν ολοκαίνουργιο και συντάχθηκε την ίδια μέρα που χρησιμοποιήθηκε για επίθεση σε συστήματα στην Ουκρανία.
Μια άλλη ενδιαφέρουσα λεπτομέρεια σχετικά με το κακόβουλο λογισμικό που κυκλοφόρησε πρόσφατα είναι ότι ενώ καταστρέφει δεδομένα και διαγράφει διαμερίσματα, δεν παρεμβαίνει στους ελεγκτές τομέα. Οι ελεγκτές τομέα είναι τα μέρη ενός δικτύου που είναι υπεύθυνα για το χειρισμό των αιτημάτων ελέγχου ταυτότητας και την πρόσβαση στους πόρους τομέα σε ένα δεδομένο δίκτυο. Αυτό μπορεί να σημαίνει ότι το εργαλείο προορίζεται να παρέχει στους χειριστές του εκτεταμένη πρόσβαση στα παραβιασμένα συστήματα, μαζί με το κύριο καθήκον της διαγραφής δεδομένων.
Το CaddyWiper εξαπλώνεται σε δίκτυα που είχαν προηγουμένως παραβιαστεί
Το εργαλείο που χρησιμοποιήθηκε κατάχρηση για τη διάδοση του CaddyWiper βρέθηκε ότι είναι αντικείμενα πολιτικής ομάδας ή GPO της Microsoft. Ωστόσο, σε τουλάχιστον μία περίπτωση ενός παραβιασμένου δικτύου, το προεπιλεγμένο GPO του χρησιμοποιήθηκε για τη διάδοση του κακόβουλου λογισμικού. Αυτό, από μόνο του, υποδηλώνει ότι ό,τι τρίτο μέρος λειτουργεί το CaddyWiper, είχε ήδη αποκτήσει μη εξουσιοδοτημένη πρόσβαση στις υπηρεσίες Active Directory του δικτύου.
Τα δύο προηγούμενα απειλητικά εργαλεία που χρησιμοποιήθηκαν τις τελευταίες εβδομάδες σε κυβερνοεπιθέσεις εναντίον ουκρανικών στόχων ονομάζονταν HermeticWiper και IsaacWiper . Και τα δύο εργαλεία είχαν καταστροφικές δυνατότητες, αλλά δεν είχαν ουσιαστικές ομοιότητες με το πιο πρόσφατο CaddyWiper όσον αφορά τον κώδικα.
Μαζί με τις αναφορές για χρήση του εργαλείου CaddyWiper στην Ουκρανία, μια άλλη επίθεση στον κυβερνοχώρο έγινε πρωτοσέλιδο, αυτή τη φορά στραμμένη προς τη ρωσική εταιρεία πετρελαίου Rosneft. Μια γερμανική θυγατρική της Rosneft φέρεται να δέχθηκε επίθεση από τη διεθνή κολεκτίβα hacktivist γνωστή ως Anonymous. Οι αναφορές αναφέρουν ότι 20 TB δεδομένων διηθήθηκαν στην επίθεση. Οι γερμανικές αρχές ερευνούν την επίθεση. Οι εγκαταστάσεις της Rosneft Deutschland δεν έχουν επηρεαστεί.