„PathWiper“ kenkėjiška programa

Tikslinėse kibernetinėse atakose, nukreiptose prieš ypatingos svarbos infrastruktūrą Ukrainoje, buvo nustatyta nauja žalingos kenkėjiškos programos atmaina, pavadinta „PathWiper“. Jos pagrindinis tikslas aiškus: sutrikdyti ir paralyžiuoti operacinius pajėgumus šalyje.

Slaptas diegimas naudojant teisėtus įrankius

Užpuolikai „PathWiper“ paketą įdiegė naudodami teisėtą galinių taškų administravimo įrankį. Šis pateikimo būdas rodo, kad grėsmių kūrėjai jau buvo įgiję administratoriaus prieigą prie tikslinių sistemų per ankstesnį įsilaužimą, o tai pabrėžia atakos sudėtingumą ir planavimą.

Priskyrimas: Pažįstamas priešininkas grįžta

Kibernetinio saugumo tyrėjai, tiriantys incidentą, labai užtikrintai priskyrė ataką su Rusija susijusiai pažangiai nuolatinei grėsmei (APT). Stebėta taktika, metodai ir procedūros (TTP) labai primena „Sandworm“ – žinomos grėsmių grupuotės, anksčiau atsakingos už „HermeticWiper“ dislokavimą Ukrainoje, – taktikas, metodus ir procedūras.

„PathWiper“: tikėtinas „HermeticWiper“ įpėdinis

„PathWiper“ turi daug panašumų su „HermeticWiper“, o tai rodo, kad tai gali būti ankstesnės kenkėjiškos programos evoliucija. Abi siekia padaryti maksimalią žalą sugadindamos svarbius sistemos duomenis, o elgesio sutapimas rodo tų pačių arba glaudžiai susijusių grėsmių grupių dalyvavimą.

Daugiapakopė atakų grandinė

Kenkėjiška programa vykdoma per kelis etapus:

• „Windows“ paketinis failas suaktyvina kenkėjišką VBScript (uacinstall.vbs).
• Scenarijus atsiunčia ir vykdo pagrindinę naudingąją apkrovą (sha256sum.exe), kuri yra užmaskuota taip, kad primintų teisėtą administracinę priemonę, siekiant išvengti aptikimo.

Išplėstinis diskų išvardijimas ir tūrio sabotažas

Kitaip nei „HermeticWiper“, kuri daugiausia dėmesio skyrė fizinių diskų išvardijimui, „PathWiper“ žengia dar vieną žingsnį, programiškai identifikuodama visus prijungtus diskus, įskaitant vietinius, tinklo ir atjungtus tomus. Tada ji naudoja „Windows“ API, kad atjungtų šiuos tomus ir pasiruoštų sabotažui.

Kenkėjiška programa kiekvienam tomui sukuria gijas, kad perrašytų esmines NTFS struktūras, faktiškai paversdama sistemas neveiksniomis.

Tikslinis pagrindinių sistemos failų sunaikinimas

Tarp sistemos komponentų, kuriuos sugadina „PathWiper“, yra šie:

• MBR (pagrindinis įkrovos įrašas): Jame yra įkrovos įkroviklis ir skaidinių lentelė.
• $MFT (pagrindinė failų lentelė): tvarko visų failų ir katalogų indeksą.
• $LogFile: Seka pakeitimus, siekiant užtikrinti jų vientisumą ir atkūrimą.
• $Boot: Saugo įkrovos sektoriaus ir failų sistemos informaciją.

Be to, penki kiti svarbūs NTFS metaduomenų failai perrašomi atsitiktiniais baitais, taip užtikrinant, kad paveiktų sistemų nebūtų galima atkurti.

Jokių išpirkų, jokių reikalavimų – tik sunaikinimas

Pažymėtina, kad atakos, susijusios su „PathWiper“, neapima jokios formos turto prievartavimo ar išpirkos reikalavimo. Šis nebuvimas patvirtina pagrindinį tikslą: visišką operacijų sutrikdymą, o ne finansinę naudą.

Valytuvai: pasikartojantis įrankis hibridiniame kare

Nuo karo Ukrainoje pradžios duomenų valytuvai tapo Rusijos kibernetinių operacijų skiriamuoju ženklu. Šie įrankiai buvo panaudoti įvairiose kampanijose, turinčiose niokojantį poveikį. Kiti žymūs valytuvai, naudoti aptiktose atakų kampanijose, yra šie: „CaddyWiper“ , „HermeticWiper“ , „IsaacWiper“ , „AcidRain“ ir kiti.

Kiekvienas iš jų atliko vaidmenį platesnėje Ukrainos infrastruktūros destabilizavimo kibernetiniais karais strategijoje.

Išvada: „PathWiper“ žymi pavojingą evoliuciją

„PathWiper“ yra nuolatinio destruktyvių kibernetinių įrankių, naudojamų prieš Ukrainą, eskalavimo pavyzdys. Dėl pažangių išsisukinėjimo metodų, gilaus sisteminio sabotažo ir priskyrimo žinomiems Rusijos kovotojų grupelėms, jis kelia didelę grėsmę šiuolaikinio kibernetinio konflikto aplinkoje.