SwiftSlicer

Neseniai Ukraina buvo taikiniu iš Rusijos naujos kibernetinės atakos, kurios metu buvo panaudotas nežinomas duomenų valytuvas SwiftSlicer, parašyta Golang. Manoma, kad ataką surengė „ Sandworm “ – valstybės remiama programišių grupė, turinti ryšius su GRU (Rusijos Federacijos ginkluotųjų pajėgų generalinio štabo vyriausiojo žvalgybos direktorato) kariniu padaliniu 74455. Išsamią informaciją apie grėsmingą kampaniją ir „SwiftSlicer“ grėsmę paskelbė kibernetinio saugumo tyrinėtojai.

Grėsmingos „SwiftSlicer“ galimybės

Žalingas įsibrovimas, diegiantis „SwiftSlicer“, buvo aptiktas 2023 m. sausio 25 d. Siekdami savo tikslų, kibernetiniai nusikaltėliai pasinaudojo „Active Directory“ grupės strategija. Kai „SwiftSlicer“ bus vykdoma, jos sugadintas kodas ištrins visas „Shadow Volume“ failų kopijas ir rekursyviai perrašys failus, esančius %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS ir kituose nesisteminiuose diskuose, rastuose pažeistuose įrenginiuose. Tiksliniai failai sunaikinami juos perrašant atsitiktinai sugeneruotomis 4096 baitų ilgio baitų sekomis. Kai šis procesas bus baigtas, užkrėsti įrenginiai bus paleisti iš naujo.

„Sandwork“ įsilaužėliai ir toliau taikosi į Ukrainos organizacijas

Rusijos priešininkų kolektyvas „Sandworm“ buvo siejamas su valytuvų kenkėjiškų programų variantų naudojimu atakose, skirtose Ukrainoje sutrikdyti ir sunaikinti. Ši grupė, dar žinoma kaip „BlackEnergy “, „Electrum“, „Iridium“, „Iron Viking“, „TeleBots“ ir „Voodoo Bear“, veikia nuo 2007 m. ir yra atsakinga už įvairias sudėtingas kibernetines kampanijas, skirtas organizacijoms visame pasaulyje. Jų pritaikytų įrankių pavyzdžiai yra BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel ir Cyclops Blink .

Vien 2022 m. jie paleido WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige ir RansomBoggs prieš svarbią infrastruktūrą Ukrainoje. Tai sutampa su Rusijos karine invazija į šalį. Ukrainos kompiuterinio reagavimo komanda (CERT-UA) neseniai susiejo „Sandworm“ su pasikėsinimu į Ukrinform – nacionalinę naujienų agentūrą – kibernetinę ataką, kuri įvyko ne vėliau kaip 2022 m. gruodžio 7 d. ši ataka: CaddyWiper ; ZeroWipe; SDelete; AwfulShred ir BidSwipe – taikymas FreeBSD, Windows ir Linux įrenginiams.