SwiftSlicer
اوکراین اخیراً هدف حمله سایبری جدیدی از روسیه قرار گرفته است که شامل استفاده از پاک کن اطلاعات ناشناخته به نام SwiftSlicer است که به زبان Golang نوشته شده است. اعتقاد بر این است که این حمله توسط Sandworm مدیریت شده است، یک گروه هکری تحت حمایت دولتی که نشان می دهد با واحد نظامی 74455 GRU (اداره اطلاعات اصلی ستاد کل نیروهای مسلح فدراسیون روسیه) ارتباط دارد. جزئیاتی در مورد کمپین تهدیدآمیز و تهدید SwiftSlicer توسط محققان امنیت سایبری منتشر شد.
قابلیت های تهدید آمیز SwiftSlicer
نفوذ مضر استقرار SwiftSlicer در 25 ژانویه 2023 شناسایی شد. مجرمان سایبری برای انجام اهداف خود از سیاست گروه Active Directory استفاده کردند. پس از اجرای SwiftSlicer، کد خراب آن همه کپیهای حجم سایه فایلها را حذف میکند و فایلهای موجود در %CSIDL_SYSTEM%\drivers، %CSIDL_SYSTEM_DRIVE%\Windows\NTDS و سایر درایوهای غیرسیستمی موجود در دستگاههای نقضشده را به صورت بازگشتی بازنویسی میکند. فایل های مورد نظر با بازنویسی با توالی بایت های تصادفی به طول 4096 بایت از بین می روند. پس از تکمیل این فرآیند، دستگاه های آلوده سپس راه اندازی مجدد می شوند.
هکرهای Sandwork به هدف قرار دادن سازمان های اوکراینی ادامه می دهند
گروه متخاصم روسی، Sandworm، با استفاده از انواع بدافزار پاک کن در حملات طراحی شده برای ایجاد اختلال و تخریب در اوکراین مرتبط شده است. این گروه که با نامهای BlackEnergy ، Electrum، Iridium، Iron Viking، TeleBots و Voodoo Bear نیز شناخته میشود، از سال 2007 فعال بوده و مسئولیت طیف وسیعی از کمپینهای سایبری پیچیده را بر عهده دارد که سازمانها را در سراسر جهان هدف قرار میدهند. نمونه هایی از ابزارهای سفارشی آنها عبارتند از BlackEnergy ، GreyEnergy ، Industroyer ، NotPetya ، Olympic Destroyer ، Exaramel و Cyclops Blink .
تنها در سال 2022، آنها WhisperGate ، HermeticWiper ، IsaacWiper ، CaddyWiper ، Industroyer2 ، Prestige و RansomBoggs را علیه زیرساخت های حیاتی در اوکراین راه اندازی کرده اند. این مصادف با تهاجم نظامی روسیه به این کشور است. تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) اخیراً Sandworm را به یک حمله سایبری به Ukrinform - خبرگزاری ملی - مرتبط کرد که حداکثر تا 7 دسامبر 2022 انجام شد. پنج ابزار مختلف بدافزار پاک کردن داده ها در این حمله: CaddyWiper ; ZeroWipe; SDDelete AwfulShred و BidSwipe - هدف قرار دادن دستگاه های FreeBSD، Windows و Linux.