PathWiper ļaunprogrammatūra

Mērķtiecīgos kiberuzbrukumos, kas vērsti pret kritisko infrastruktūru Ukrainā, ir identificēts jauns postošas ļaunprogrammatūras paveids ar nosaukumu PathWiper. Tā galvenais mērķis ir skaidrs: traucēt un paralizēt operatīvās spējas valstī.

Slepena izvietošana, izmantojot likumīgus rīkus

Uzbrucēji izvietoja PathWiper lietderīgo slodzi, izmantojot likumīgu galapunktu administrēšanas rīku. Šī piegādes metode liek domāt, ka apdraudējumu dalībnieki jau bija ieguvuši administratīvu piekļuvi mērķa sistēmām, izmantojot iepriekšēju kompromitēšanu, kas uzsver uzbrukuma sarežģītību un plānošanu.

Atribūcija: Pazīstama pretinieka atgriešanās

Kiberdrošības pētnieki, kas izmeklē incidentu, ar lielu pārliecību ir saistījuši uzbrukumu ar Krieviju saistītu progresīvu pastāvīgu apdraudējumu (APT). Novērotā taktika, metodes un procedūras (TTP) ir ļoti līdzīgas Sandworm, zināmas apdraudējumu grupas, kas iepriekš bija atbildīga par HermeticWiper izvietošanu Ukrainā, metodēm.

PathWiper: Iespējamais HermeticWiper pēctecis

PathWiper ir ievērojamas līdzības ar HermeticWiper, kas liek domāt, ka tā varētu būt šīs agrākās ļaunprogrammatūras evolūcija. Abu mērķis ir nodarīt maksimālu kaitējumu, bojājot kritiski svarīgus sistēmas datus, un darbības pārklāšanās norāda uz to pašu vai cieši saistītu apdraudējumu klasteru iesaistīšanos.

Daudzpakāpju uzbrukuma ķēde

Ļaunprogrammatūra tiek izpildīta, izmantojot vairākpakāpju procesu:

• Windows pakešfails aktivizē ļaunprātīgu VBScript (uacinstall.vbs).
• Skripts atmet un izpilda galveno lietderīgo slodzi (sha256sum.exe), kas ir maskēta, lai atgādinātu likumīgu administratīvo rīku, lai izvairītos no atklāšanas.

Uzlabota disku uzskaitīšana un apjoma sabotāža

Atšķirībā no HermeticWiper, kas koncentrējās uz fizisko disku uzskaitīšanu, PathWiper iet soli tālāk, programmatiski identificējot visus pievienotos diskus, tostarp lokālos, tīkla un atvienotos sējumus. Pēc tam tas izmanto Windows API, lai atvienotu šos sējumus, gatavojoties sabotāžai.

Ļaunprogrammatūra katram sējumam ģenerē pavedienus, lai pārrakstītu būtiskas NTFS struktūras, faktiski padarot sistēmas nedarbojamas.

Mērķtiecīga galveno sistēmas failu iznīcināšana

Starp sistēmas komponentiem, ko PathWiper sabojā, ir:

• MBR (galvenais sāknēšanas ieraksts): satur sāknēšanas ielādētāju un nodalījumu tabulu.
• $MFT (galvenā failu tabula): uztur visu failu un direktoriju indeksu.
• $LogFile: Izseko izmaiņu integritāti un atkopšanu.
• $Boot: Saglabā sāknēšanas sektora un failu sistēmas informāciju.

Turklāt pieci citi kritiski NTFS metadatu faili tiek pārrakstīti ar nejaušiem baitiem, vēl vairāk nodrošinot, ka skartās sistēmas nevar atgūt.

Nav izpirkuma maksas, nav prasību — tikai iznīcināšana

Jāatzīmē, ka uzbrukumos, kuros iesaistīts PathWiper, nav iekļauta nekāda veida izspiešana vai izpirkuma pieprasījuma iesniegšana. Šī neesamība apstiprina galveno mērķi: pilnīgu darbības pārtraukšanu, nevis finansiāla labuma gūšanu.

Stiklu tīrītāji: bieži izmantots instruments hibrīdkarā

Kopš kara sākuma Ukrainā datu tīrītāji ir kļuvuši par Krievijas kiberoperāciju raksturīgāko iezīmi. Šie rīki ir izmantoti vairākās kampaņās ar postošu ietekmi. Citi ievērojami tīrītāji, kas izmantoti atklātajās uzbrukumu kampaņās, ir: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain un citi.

Katram no tiem ir bijusi sava loma plašākā Ukrainas infrastruktūras destabilizācijas stratēģijā, izmantojot kiberkaradarbību.

Secinājums: PathWiper iezīmē bīstamu evolūciju

PathWiper labi parāda notiekošo destruktīvo kiberrīku izmantošanas eskalāciju pret Ukrainu. Pateicoties progresīvām izvairīšanās metodēm, dziļai sistēmas līmeņa sabotāžai un attiecināšanai uz zināmiem Krievijas APT, tas rada ievērojamus draudus mūsdienu kiberkonflikta ainavā.