PathWiper kártevő
Egy újfajta romboló rosszindulatú programot, a PathWipert azonosították Ukrajna kritikus infrastruktúrája ellen indított célzott kibertámadásokban. Elsődleges célja egyértelmű: az ország működési képességeinek megzavarása és megbénítása.
Tartalomjegyzék
Rejtett telepítés legitim eszközökön keresztül
A támadók egy legitim végpont-adminisztrációs eszközzel telepítették a PathWiper hasznos adatcsomagot. Ez a kézbesítési módszer arra utal, hogy a fenyegető szereplők már korábban adminisztrátori hozzáférést szereztek a célzott rendszerekhez egy korábbi feltörés révén, ami rávilágít a támadás mögötti kifinomultságra és tervezésre.
Nevezd meg: Egy ismerős ellenfél visszatér
Az incidenst vizsgáló kiberbiztonsági kutatók nagy bizonyossággal egy Oroszországhoz köthető fejlett perzisztens fenyegetésnek (APT) tulajdonították a támadást. A megfigyelt taktikák, technikák és eljárások (TTP-k) szorosan hasonlítanak a Sandworm, egy ismert fenyegető csoportéhoz, amely korábban a HermeticWiper ukrajnai telepítéséért volt felelős.
PathWiper: A HermeticWiper valószínűsíthető utódja
A PathWiper jelentős hasonlóságokat mutat a HermeticWiperrel, ami arra utal, hogy ez a korábbi rosszindulatú program továbbfejlesztése lehet. Mindkettő célja a maximális kár okozása a kritikus rendszeradatok megrongálásával, és a viselkedésbeli átfedés ugyanazon vagy szorosan kapcsolódó fenyegetési klaszterek érintettségére utal.
Többlépcsős támadási lánc
A rosszindulatú program többlépcsős folyamaton keresztül fut:
- Egy Windows kötegelt fájl elindít egy rosszindulatú VBScript kódot (uacinstall.vbs).
- A szkript elindítja és végrehajtja a fő adatcsomagot (sha256sum.exe), amelyet egy legitim adminisztrációs eszköznek álcázva próbál megkerülni az észlelést.
Speciális meghajtófelmérés és kötetszabotázs
A HermeticWiperrel ellentétben, amely a fizikai meghajtók felsorolására összpontosított, a PathWiper egy lépéssel tovább megy, programozottan azonosítja az összes csatlakoztatott meghajtót, beleértve a helyi, hálózati és leválasztott köteteket is. Ezután Windows API-kat használ a kötetek leválasztásához a szabotázstámadások előkészítése érdekében.
A kártevő minden kötethez szálakat hoz létre, hogy felülírja a lényeges NTFS struktúrákat, gyakorlatilag működésképtelenné téve a rendszereket.
A rendszer alapvető fájljainak célzott megsemmisítése
A PathWiper által megrongált rendszerösszetevők között szerepelnek:
- MBR (Master Boot Record): Tartalmazza a rendszerbetöltőt és a partíciós táblát.
- $MFT (Master File Table): Az összes fájl és könyvtár indexét kezeli.
- $LogFile: Követi a változásokat az integritás és a helyreállítás szempontjából.
- $Boot: A rendszerindító szektor és a fájlrendszer adatait tárolja.
Ezenkívül öt másik kritikus NTFS metaadatfájlt véletlenszerű bájtokkal írnak felül, tovább biztosítva, hogy az érintett rendszerek ne legyenek helyreállíthatók.
Nincs váltságdíj, nincs követelés - csak pusztítás
Figyelemre méltó, hogy a PathWipert érintő támadások semmilyen formában nem tartalmaznak zsarolást vagy váltságdíj követelést. Ez a hiány megerősíti az elsődleges célt: a működés teljes megzavarását, nem pedig a pénzügyi haszonszerzést.
Ablaktörlők: Visszatérő eszköz a hibrid hadviselésben
Az ukrajnai háború kitörése óta az adattörlők az orosz kiberműveletek védjegyévé váltak. Ezeket az eszközöket számos kampányban bevetették pusztító hatással. Az észlelt támadási kampányokban használt egyéb jelentős adattörlők a következők: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain és mások.
Mindezek szerepet játszottak egy szélesebb körű stratégiában, amelynek célja az ukrán infrastruktúra kiberháborún keresztüli destabilizálása volt.
Konklúzió: A PathWiper veszélyes evolúciót jelez
A PathWiper jól példázza az Ukrajna ellen bevetett romboló kibereszközök folyamatos eszkalálódását. Fejlett kitérési technikáival, mélyreható rendszerszintű szabotázsával és az ismert orosz APT-kre mutató hivatkozásokkal jelentős fenyegetést jelent a modern kiberkonfliktusok világában.
