SwiftSlicer
Η Ουκρανία έγινε πρόσφατα στόχος μιας νέας κυβερνοεπίθεσης από τη Ρωσία, η οποία αφορούσε τη χρήση ενός άγνωστου καθαριστή δεδομένων που ονομάζεται SwiftSlicer, ο οποίος είναι γραμμένος στα Golang. Η επίθεση πιστεύεται ότι διαχειρίστηκε η Sandworm , μια κρατική ομάδα χάκερ που δείχνει δεσμούς με τη Στρατιωτική Μονάδα 74455 της GRU (Κύρια Διεύθυνση Πληροφοριών του Γενικού Επιτελείου των Ενόπλων Δυνάμεων της Ρωσικής Ομοσπονδίας). Λεπτομέρειες σχετικά με την απειλητική εκστρατεία και την απειλή SwiftSlicer κυκλοφόρησαν από ερευνητές στον τομέα της κυβερνοασφάλειας.
Οι Απειλητικές Δυνατότητες του SwiftSlicer
Η επιβλαβής εισβολή που αναπτύσσει το SwiftSlicer εντοπίστηκε στις 25 Ιανουαρίου 2023. Για να επιτύχουν τους στόχους τους, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν την Πολιτική ομάδας Active Directory. Μόλις εκτελεστεί το SwiftSlicer, ο κατεστραμμένος κώδικάς του θα διαγράψει όλα τα αντίγραφα του σκιώδους όγκου αρχείων και θα αντικαταστήσει αναδρομικά τα αρχεία που βρίσκονται στα %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS και άλλες μονάδες δίσκου εκτός συστήματος που βρίσκονται στις συσκευές που έχουν παραβιαστεί. Τα στοχευμένα αρχεία καταστρέφονται με την αντικατάσταση με τυχαία δημιουργούμενες ακολουθίες byte μήκους 4.096 byte. Μετά την ολοκλήρωση αυτής της διαδικασίας, οι μολυσμένες συσκευές θα επανεκκινηθούν.
Οι χάκερ του Sandwork συνεχίζουν να στοχεύουν οργανισμούς της Ουκρανίας
Η ρωσική αντίπαλη ομάδα, Sandworm, έχει συνδεθεί με τη χρήση παραλλαγών κακόβουλου λογισμικού υαλοκαθαριστήρων σε επιθέσεις που έχουν σχεδιαστεί για να προκαλέσουν αναστάτωση και καταστροφή στην Ουκρανία. Αυτή η ομάδα, γνωστή και ως BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots και Voodoo Bear, δραστηριοποιείται από το 2007 και είναι υπεύθυνη για μια σειρά εξελιγμένων εκστρατειών στον κυβερνοχώρο που στοχεύουν οργανισμούς σε όλο τον κόσμο. Παραδείγματα των προσαρμοσμένων εργαλείων τους περιλαμβάνουν τα BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel και Cyclops Blink .
Μόνο το 2022, κυκλοφόρησαν τα WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige και RansomBoggs ενάντια σε κρίσιμες υποδομές στην Ουκρανία. Αυτό συμπίπτει με τη στρατιωτική εισβολή της Ρωσίας στη χώρα. Η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) συνέδεσε πρόσφατα το Sandworm με μια απόπειρα κυβερνοεπίθεσης στο Ukrinform - το εθνικό πρακτορείο ειδήσεων - που έλαβε χώρα το αργότερο στις 7 Δεκεμβρίου 2022. Χρησιμοποιήθηκαν πέντε διαφορετικά εργαλεία κακόβουλου λογισμικού σκουπίσματος δεδομένων αυτή η επίθεση: CaddyWiper ; ZeroWipe; SDDelete; AwfulShred και BidSwipe - στόχευση συσκευών FreeBSD, Windows και Linux.
