PathWiper-haittaohjelma
Ukrainan kriittiseen infrastruktuuriin kohdistuneissa kohdennetuissa kyberhyökkäyksissä on tunnistettu uusi tuhoisa haittaohjelmamuoto, PathWiper. Sen ensisijainen tavoite on selvä: häiritä ja lamauttaa maan operatiivista toimintaa.
Sisällysluettelo
Salainen käyttöönotto laillisten työkalujen avulla
Hyökkääjät ottivat PathWiper-hyötykuorman käyttöön laillisen päätepisteiden hallintatyökalun avulla. Tämä toimitustapa viittaa siihen, että uhkatoimijat olivat jo saaneet järjestelmänvalvojan oikeudet kohdejärjestelmiin aiemman tietomurron kautta, mikä korostaa hyökkäyksen taustalla olevaa hienostuneisuutta ja suunnittelua.
Nimeäminen: Tuttu vihollinen palaa
Tapausta tutkineet kyberturvallisuustutkijat ovat suurella varmuudella yhdistäneet hyökkäyksen Venäjään kytköksissä olevaan edistyneeseen pysyvään uhkaan (APT). Havaitut taktiikat, tekniikat ja menettelyt (TTP) muistuttavat läheisesti Sandwormin, tunnetun uhkaryhmän, joka aiemmin otti käyttöön HermeticWiperin Ukrainassa, taktiikoita, tekniikoita ja menettelyjä.
PathWiper: Todennäköinen HermeticWiperin seuraaja
PathWiperilla on merkittäviä yhtäläisyyksiä HermeticWiperin kanssa, mikä viittaa siihen, että se saattaa olla aiemman haittaohjelman kehitysaskel. Molemmat pyrkivät aiheuttamaan maksimaalista vahinkoa vioittamalla kriittisiä järjestelmätietoja, ja toiminnan päällekkäisyys viittaa samojen tai läheisesti toisiinsa liittyvien uhkaryppäiden osallisuuteen.
Monivaiheinen hyökkäysketju
Haittaohjelma suoritetaan monivaiheisen prosessin kautta:
- Windowsin eräajotiedosto laukaisee haitallisen VBScript-komennon (uacinstall.vbs).
- Skripti poistaa ja suorittaa ydinosan (sha256sum.exe), joka on naamioitu muistuttamaan laillista hallintatyökalua havaitsemisen välttämiseksi.
Edistynyt asemien luettelointi ja aseman sabotaasi
Toisin kuin HermeticWiper, joka keskittyi fyysisten asemien luettelointiin, PathWiper menee askeleen pidemmälle tunnistamalla ohjelmallisesti kaikki liitetyt asemat, mukaan lukien paikalliset, verkko- ja irrotetut asemat. Sitten se hyödyntää Windowsin API-rajapintoja näiden asemien irrottamiseen sabotaasihyökkäyksen valmistelua varten.
Haittaohjelma luo jokaiselle taltiolle säikeitä, jotka korvaavat tärkeät NTFS-rakenteet ja tekevät järjestelmistä käytännössä käyttökelvottomia.
Ydinjärjestelmän tiedostojen kohdennettu tuhoaminen
PathWiperin korruptoimien järjestelmäkomponenttien joukossa ovat:
- MBR (Master Boot Record): Sisältää käynnistyslataimen ja osiotaulukon.
- $MFT (Master File Table): Ylläpitää kaikkien tiedostojen ja hakemistojen indeksiä.
- $LogFile: Seuraa muutoksia eheyden ja palautuksen varmistamiseksi.
- $Boot: Tallentaa käynnistyssektorin ja tiedostojärjestelmän tiedot.
Lisäksi viisi muuta kriittistä NTFS-metatietotiedostoa korvataan satunnaisilla tavuilla, mikä varmistaa entisestään, että kyseisiä järjestelmiä ei voida palauttaa.
Ei lunnaita, ei vaatimuksia - vain tuhoa
Merkillepantavaa on, että PathWiperiin kohdistuneisiin hyökkäyksiin ei liity minkäänlaista kiristystä tai lunnaiden vaatimista. Tämä vahvistaa ensisijaisen tavoitteen: toiminnan täydellisen häiritsemisen eikä taloudellisen hyödyn tavoittelun.
Pyyhkijät: toistuva työkalu hybridisodankäynnissä
Ukrainan sodan alkamisen jälkeen datapyyhkimistä on tullut venäläisten kyberoperaatioiden tunnusmerkki. Näitä työkaluja on käytetty useissa kampanjoissa tuhoisin vaikutuksin. Muita merkittäviä datapyyhkimiä, joita on käytetty havaituissa hyökkäyskampanjoissa, ovat: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain ja muita.
Jokainen näistä on ollut osallisena laajemmassa strategiassa, jolla on pyritty horjuttamaan Ukrainan infrastruktuuria kybersodankäynnin avulla.
Johtopäätös: PathWiper merkitsee vaarallista kehitystä
PathWiper on esimerkki Ukrainaa vastaan käytettyjen tuhoisien kybertyökalujen jatkuvasta lisääntymisestä. Edistyneiden väistötekniikoiden, syvän järjestelmätason sabotaasin ja tunnettuihin venäläisiin aseellisiin ryhmiin viittaavien tekijöiden ansiosta se edustaa merkittävää uhkaa nykyaikaisessa kyberkonfliktissa.
