មេរោគ PathWiper
មេរោគប្រភេទថ្មីដែលបំផ្លិចបំផ្លាញ ដែលមានឈ្មោះថា PathWiper ត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងការវាយប្រហារតាមអ៊ីនធឺណែតដែលមានគោលដៅទៅលើហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅក្នុងប្រទេសអ៊ុយក្រែន។ គោលបំណងចម្បងរបស់វាគឺច្បាស់លាស់៖ ដើម្បីរំខាន និងធ្វើឱ្យខូចសមត្ថភាពប្រតិបត្តិការនៅក្នុងប្រទេស។
តារាងមាតិកា
ការដាក់ពង្រាយដោយសម្ងាត់តាមរយៈឧបករណ៍ស្របច្បាប់
អ្នកវាយប្រហារបានដាក់ពង្រាយ PathWiper payload ដោយប្រើឧបករណ៍គ្រប់គ្រងចំណុចបញ្ចប់ស្របច្បាប់។ វិធីសាស្រ្តនៃការចែកចាយនេះបង្ហាញថា តួអង្គគម្រាមកំហែងបានសម្រេចសិទ្ធិចូលដំណើរការរដ្ឋបាលទៅកាន់ប្រព័ន្ធគោលដៅរួចហើយ តាមរយៈការសម្របសម្រួលពីមុន ដោយបញ្ជាក់ពីភាពទំនើប និងការរៀបចំផែនការនៅពីក្រោយការវាយប្រហារ។
គុណលក្ខណៈ៖ មារសត្រូវដែលធ្លាប់ស្គាល់ត្រឡប់មកវិញ
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតដែលស៊ើបអង្កេតឧបទ្ទវហេតុនេះបានសន្មតថាការវាយប្រហារនេះមានទំនុកចិត្តខ្ពស់ថាជាការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលភ្ជាប់ជាមួយប្រទេសរុស្ស៊ី។ កលល្បិច បច្ចេកទេស និងនីតិវិធី (TTPs) បានសង្កេតឃើញយ៉ាងជិតស្និតស្រដៀងទៅនឹងក្រុម Sandworm ដែលជាក្រុមគំរាមកំហែងដែលគេស្គាល់ពីមុនមកទទួលខុសត្រូវចំពោះការពង្រាយ HermeticWiper នៅអ៊ុយក្រែន។
PathWiper៖ ទំនងជាអ្នកស្នងតំណែងរបស់ HermeticWiper
PathWiper ចែករំលែកភាពស្រដៀងគ្នាសំខាន់ៗជាមួយ HermeticWiper ដោយបង្ហាញថាវាអាចជាការវិវត្តនៃមេរោគមុននោះ។ ទាំងពីរមានគោលបំណងធ្វើឱ្យខូចខាតជាអតិបរមាដោយការធ្វើឱ្យខូចទិន្នន័យប្រព័ន្ធសំខាន់ ហើយការត្រួតស៊ីគ្នានៅក្នុងឥរិយាបថបង្កប់ន័យការចូលរួមនៃក្រុមគំរាមកំហែងដូចគ្នា ឬពាក់ព័ន្ធយ៉ាងជិតស្និទ្ធ។
ខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាល
មេរោគដំណើរការតាមរយៈដំណើរការពហុដំណាក់កាល៖
- ឯកសារបាច់ Windows បង្ករ VBScript ព្យាបាទ (uacinstall.vbs)។
- ស្គ្រីបធ្លាក់ចុះ និងដំណើរការស្នូល payload (sha256sum.exe) ដែលក្លែងបន្លំស្រដៀងទៅនឹងឧបករណ៍រដ្ឋបាលស្របច្បាប់ ដើម្បីគេចពីការរកឃើញ។
ការរាប់បញ្ចូលថាសកម្រិតខ្ពស់ និងការបំផ្លាញបរិមាណ
មិនដូច HermeticWiper ដែលផ្តោតលើការរាប់បញ្ចូលដ្រាយវ៍រឹង PathWiper ឈានទៅមុខមួយជំហានទៀតដោយកំណត់អត្តសញ្ញាណកម្មវិធីទាំងអស់នៃដ្រាយដែលបានតភ្ជាប់ រួមទាំងមូលដ្ឋាន បណ្តាញ និងភាគដែលបានផ្តាច់។ បន្ទាប់មកវាប្រើប្រាស់ Windows APIs ដើម្បីផ្តាច់បរិមាណទាំងនេះក្នុងការរៀបចំសម្រាប់ការបំផ្លិចបំផ្លាញ។
មេរោគនេះបង្កើតខ្សែស្រឡាយសម្រាប់ភាគនីមួយៗដើម្បីសរសេរជាន់លើរចនាសម្ព័ន្ធ NTFS សំខាន់ៗ ដែលធ្វើអោយប្រព័ន្ធដំណើរការមិនដំណើរការប្រកបដោយប្រសិទ្ធភាព។
ការបំផ្លាញគោលដៅនៃឯកសារប្រព័ន្ធស្នូល
ក្នុងចំណោមសមាសធាតុនៃប្រព័ន្ធ PathWiper ខូចគឺ៖
- MBR (Master Boot Record): មានផ្ទុកកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ និងតារាងភាគថាស។
- $MFT (តារាងឯកសារមេ): រក្សាលិបិក្រមនៃឯកសារ និងថតទាំងអស់។
- $LogFile៖ តាមដានការផ្លាស់ប្តូរសម្រាប់សុចរិតភាព និងការស្តារឡើងវិញ។
- $Boot៖ រក្សាទុកផ្នែកចាប់ផ្ដើម និងព័ត៌មានប្រព័ន្ធឯកសារ។
លើសពីនេះ ឯកសារទិន្នន័យមេតា NTFS សំខាន់ៗចំនួនប្រាំផ្សេងទៀតត្រូវបានសរសេរជាន់លើដោយបៃចៃដន្យ ដែលធានាបន្ថែមទៀតថាប្រព័ន្ធដែលរងផលប៉ះពាល់មិនអាចត្រូវបានរកឃើញវិញបានទេ។
គ្មានតម្លៃលោះ គ្មានការទាមទារ - មានតែការបំផ្លិចបំផ្លាញប៉ុណ្ណោះ។
គួរកត់សម្គាល់ថា ការវាយប្រហារដែលពាក់ព័ន្ធនឹង PathWiper មិនរួមបញ្ចូលទម្រង់នៃការជំរិតទារប្រាក់ ឬការទាមទារតម្លៃលោះណាមួយឡើយ។ អវត្តមាននេះបញ្ជាក់ពីគោលបំណងចម្បង៖ ការរំខានទាំងស្រុងនៃប្រតិបត្តិការ ជាជាងការទទួលបានហិរញ្ញវត្ថុ។
Wipers: ឧបករណ៍ដែលកើតឡើងដដែលៗនៅក្នុង Hybrid Warfare
ចាប់តាំងពីការចាប់ផ្តើមនៃសង្គ្រាមនៅអ៊ុយក្រែន ឧបករណ៍ជូតទិន្នន័យបានក្លាយជាសញ្ញាសម្គាល់នៃប្រតិបត្តិការអ៊ីនធឺណិតរបស់រុស្ស៊ី។ ឧបករណ៍ទាំងនេះត្រូវបានគេដាក់ពង្រាយនៅក្នុងយុទ្ធនាការជាច្រើនដែលមានឥទ្ធិពលយ៉ាងខ្លាំង។ wipers គួរឱ្យកត់សម្គាល់ផ្សេងទៀតដែលត្រូវបានប្រើនៅក្នុងយុទ្ធនាការវាយប្រហារដែលបានរកឃើញរួមមាន: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain និងច្រើនទៀត។
ទាំងនេះនីមួយៗបានដើរតួនាទីនៅក្នុងយុទ្ធសាស្ត្រទូលំទូលាយនៃអស្ថិរភាពហេដ្ឋារចនាសម្ព័ន្ធអ៊ុយក្រែនតាមរយៈសង្គ្រាមតាមអ៊ីនធឺណិត។
សេចក្តីសន្និដ្ឋាន៖ PathWiper សម្គាល់ការវិវត្តដ៏គ្រោះថ្នាក់
PathWiper ជាឧទាហរណ៍នៃការកើនឡើងដែលកំពុងបន្តនៅក្នុងឧបករណ៍អ៊ីនធឺណេតបំផ្លិចបំផ្លាញដែលប្រើប្រឆាំងនឹងអ៊ុយក្រែន។ ជាមួយនឹងបច្ចេកទេសការគេចវេសជឿនលឿន ការបំផ្លិចបំផ្លាញកម្រិតប្រព័ន្ធយ៉ាងស៊ីជម្រៅ និងការបញ្ជាក់ដែលចង្អុលទៅ APTs របស់រុស្ស៊ីដែលគេស្គាល់ វាតំណាងឱ្យការគំរាមកំហែងយ៉ាងសំខាន់នៅក្នុងទិដ្ឋភាពនៃជម្លោះតាមអ៊ីនធឺណិតទំនើប។
