PathWiperi pahavara

Ukraina kriitilise taristu vastu suunatud küberrünnakutes on tuvastatud uus hävitava pahavara tüvi, hüüdnimega PathWiper. Selle peamine eesmärk on selge: häirida ja halvata riigi operatiivset võimekust.

Salajane juurutamine seaduslike tööriistade kaudu

Ründajad juurutasid PathWiperi kasuliku koormuse legitiimse lõpp-punkti haldustööriista abil. See edastusmeetod viitab sellele, et ohustajad olid juba saanud administratiivse juurdepääsu sihtsüsteemidele eelneva kompromiteerimise kaudu, mis rõhutab rünnaku keerukust ja planeeritust.

Atributsioon: Tuttav vastane naaseb

Juhtumit uurivad küberjulgeoleku uurijad on rünnaku suure kindlusega omistanud Venemaaga seotud edasijõudnud püsivale ohule (APT). Täheldatud taktika, tehnikad ja protseduurid (TTP) sarnanevad väga Sandworm'i omadega, mis on teadaolev ohurühmitus, kes varem paigutas HermeticWiperi Ukrainasse.

PathWiper: HermeticWiperi tõenäoline järeltulija

PathWiperil on olulisi sarnasusi HermeticWiperiga, mis viitab sellele, et see võib olla varasema pahavara edasiarendus. Mõlema eesmärk on tekitada maksimaalset kahju kriitiliste süsteemiandmete rikkumise kaudu ning käitumise kattumine viitab samade või lähedalt seotud ohuklastrite osalemisele.

Mitmeastmeline rünnakuahel

Pahavara käivitatakse mitmeastmelise protsessi kaudu:

• Windowsi pakkfail käivitab pahatahtliku VBScripti (uacinstall.vbs).
• Skript eemaldab ja käivitab põhifaili (sha256sum.exe), mis on maskeeritud legitiimse administratiivtööriista sarnaseks, et avastamist vältida.

Täiustatud draivide loendamine ja helitugevuse sabotaaž

Erinevalt HermeticWiperist, mis keskendus füüsiliste draivide loetlemisele, läheb PathWiper sammu edasi, tuvastades programmiliselt kõik ühendatud draivid, sealhulgas kohalikud, võrgu- ja lahtiühendatud draivid. Seejärel kasutab see Windowsi API-sid nende draivide lahtiühendamiseks sabotaažiks valmistumiseks.

Pahavara loob iga köite jaoks niidid, et kirjutada üle olulised NTFS-struktuurid, muutes süsteemid sisuliselt töökõlbmatuks.

Põhisüsteemifailide sihipärane hävitamine

PathWiperi rikutud süsteemikomponentide hulgas on:

• MBR (Master Boot Record): Sisaldab alglaadurit ja partitsioonitabelit.
• $MFT (Master File Table): Haldab kõigi failide ja kataloogide indeksit.
• $LogFile: Jälgib muudatusi terviklikkuse ja taastamise osas.
• $Boot: Salvestab alglaadimissektori ja failisüsteemi teabe.

Lisaks kirjutatakse viis muud olulist NTFS-metaandmete faili üle juhuslike baitidega, tagades veelgi, et mõjutatud süsteeme ei saa taastada.

Ei lunaraha, ei nõudmisi - ainult häving

Tähelepanuväärne on see, et PathWiperiga seotud rünnakud ei hõlma mingit väljapressimist ega lunaraha nõudmist. See puudumine kinnitab peamist eesmärki: tegevuse täielik häirimine, mitte rahalise kasu saamine.

Klaasipuhastid: hübriidsõjas korduv tööriist

Alates Ukraina sõja algusest on andmepuhastitest saanud Venemaa küberoperatsioonide tunnusmärk. Neid tööriistu on kasutatud mitmetes kampaaniates ja neil on olnud laastav mõju. Teiste tähelepanuväärsete avastatud rünnakukampaaniates kasutatud andmepuhastite hulka kuuluvad: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain ja teised.

Kõik need on mänginud rolli laiemas strateegias, mille eesmärk on Ukraina infrastruktuuri destabiliseerimine kübersõja abil.

Kokkuvõte: PathWiper tähistab ohtlikku evolutsiooni

PathWiper on hea näide Ukraina vastu suunatud hävitavate küberrünnakute eskaleerumisest. Tänu täiustatud kõrvalehoidumistehnikatele, sügavale süsteemsele sabotaažile ja teadaolevatele Venemaa APT-dele osutamisele kujutab see endast märkimisväärset ohtu tänapäevase küberkonflikti maastikul.