Ukrainan kyberhyökkäyksissä käytetty uusi tuhoisa haittaohjelma

Ukrainan sodan jatkuessa Kiovan pääkaupungin viimeisimmistä tuhoista ja paikallisen pormestarin määräämästä ulkonaliikkumiskiellosta taistelu jatkuu myös kyberavaruudessa. Tietoturvatutkijat raportoivat eilen, että useissa Ukrainan verkoissa on havaittu uusi tuhoisa haittaohjelma.

Uusi haittaohjelma toimii pyyhkimenä, ei yritä suodattaa tietoja tai salata niitä kuten lunnasohjelmat tekevät. Sen sijaan uhkaavat pyyhintyökalut poistavat kaiken, minkä voivat ja pyyhkivät tilan puhtaaksi tietojen palauttamisen estämiseksi.

CaddyWiper poistaa tiedostot, osiot

Äskettäin löydetty työkalu on nimetty CaddyWiperiksi, ja haittaohjelmatutkijat ovat yksityiskohtaisesti sitä Twitter-viestissä. Tämä on kolmas uhkaava pyyhin, joka on löydetty luonnosta Ukrainassa maan sotilaallisen konfliktin alkamisen jälkeen. Kummallista kyllä, kävi ilmi, että CaddyWiperin hyötykuorma oli upouusi ja koottu samana päivänä, kun sitä käytettiin hyökkäämään järjestelmiin Ukrainassa.

Toinen mielenkiintoinen yksityiskohta äskettäin julkaistusta haittaohjelmasta on, että vaikka se tuhoaa tietoja ja poistaa osioita, se ei häiritse toimialueen ohjaimia. Toimialueen ohjaimet ovat verkon osia, jotka vastaavat todennuspyyntöjen käsittelystä ja tietyn verkon toimialueen resurssien käyttämisestä. Tämä saattaa tarkoittaa, että työkalun tarkoituksena on antaa käyttäjilleen laajennettu pääsy vaarantuneisiin järjestelmiin sekä tietojen pyyhkiminen.

CaddyWiper leviää aiemmin vaarantuneisiin verkkoihin

CaddyWiperin levittämiseen väärin käytetyn työkalun havaittiin olevan Microsoft Group Policy Objects tai GPO. Kuitenkin ainakin yhdessä vaarantuneen verkon tapauksessa sen oletus-GPO:ta käytettiin haittaohjelman levittämiseen. Tämä itsessään viittaa siihen, että mikä tahansa kolmas osapuoli käyttää CaddyWiperiä, oli jo saanut luvattoman pääsyn verkon Active Directory -palveluihin.

Kaksi aikaisempaa uhkaustyökalua, joita käytettiin viime viikkoina kyberhyökkäyksissä ukrainalaisia kohteita vastaan, olivat nimeltään HermeticWiper ja IsaacWiper . Molemmilla työkaluilla oli tuhoisia ominaisuuksia, mutta niillä ei ollut merkittäviä yhtäläisyyksiä uusimman CaddyWiperin kanssa koodin suhteen.

Yhdessä Ukrainassa käytetyn CaddyWiper-työkalun raporttien kanssa uutisotsikoille nousi toinenkin kyberhyökkäys, joka tällä kertaa kohdistui venäläiseen öljy-yhtiöön Rosneftiin. Anonymous-niminen kansainvälinen hacktivistikollektiivi hyökkäsi tiedon mukaan Rosneftin saksalaisen tytäryhtiön kimppuun. Raporttien mukaan hyökkäyksessä suodatettiin 20 teratavua tietoa. Saksan viranomaiset tutkivat hyökkäystä. Rosneft Deutschlandin laitokset eivät ole vaikuttaneet.