PathWiper-skadevare
En ny variant av destruktiv skadevare, kalt PathWiper, har blitt identifisert i målrettede cyberangrep rettet mot kritisk infrastruktur i Ukraina. Hovedmålet er klart: å forstyrre og lamme operative kapasiteter i landet.
Innholdsfortegnelse
Skjult distribusjon via legitime verktøy
Angriperne distribuerte PathWiper-nyttelasten ved hjelp av et legitimt administrasjonsverktøy for endepunkter. Denne leveringsmetoden antyder at trusselaktørene allerede hadde oppnådd administrativ tilgang til de målrettede systemene gjennom et tidligere kompromiss, noe som fremhever sofistikasjonen og planleggingen bak angrepet.
Attribusjon: En kjent motstander vender tilbake
Forskere innen nettsikkerhet som etterforsker hendelsen har med stor sikkerhet tilskrevet angrepet til en avansert, vedvarende trussel (APT) med tilknytning til Russland. Taktikkene, teknikkene og prosedyrene (TTP-ene) som er observert, ligner sterkt på de som ble brukt av Sandworm, en kjent trusselgruppe som tidligere var ansvarlig for å distribuere HermeticWiper i Ukraina.
PathWiper: En sannsynlig etterfølger til HermeticWiper
PathWiper har betydelige likheter med HermeticWiper, noe som tyder på at det kan være en videreutvikling av den tidligere skadelige programvaren. Begge har som mål å påføre maksimal skade ved å ødelegge kritiske systemdata, og overlappingen i oppførsel antyder involvering av de samme eller nært beslektede trusselklyngene.
En flertrinns angrepskjede
Skadevaren kjøres gjennom en flertrinnsprosess:
- En Windows-batchfil utløser et skadelig VBScript (uacinstall.vbs).
- Skriptet slipper og kjører kjernenyttelasten (sha256sum.exe), forkledd for å ligne et legitimt administrativt verktøy for å unngå oppdagelse.
Avansert diskopplisting og volumsabotasje
I motsetning til HermeticWiper, som fokuserte på å liste opp fysiske stasjoner, går PathWiper et skritt videre ved å programmatisk identifisere alle tilkoblede stasjoner, inkludert lokale, nettverks- og demonterte volumer. Deretter bruker den Windows API-er for å demontere disse volumene som forberedelse til sabotasje.
Skadevaren genererer tråder for hvert volum for å overskrive viktige NTFS-strukturer, noe som effektivt gjør systemer ubrukelige.
Målrettet destruksjon av kjernesystemfiler
Blant systemkomponentene som PathWiper ødelegger er:
- MBR (Master Boot Record): Inneholder oppstartslaster og partisjonstabell.
- $MFT (Master File Table): Vedlikeholder indeksen over alle filer og mapper.
- $LogFile: Sporer endringer for integritet og gjenoppretting.
- $Boot: Lagrer informasjon om oppstartssektor og filsystem.
I tillegg overskrives fem andre kritiske NTFS-metadatafiler med tilfeldige byte, noe som ytterligere sikrer at de berørte systemene ikke kan gjenopprettes.
Ingen løsepenger, ingen krav - kun ødeleggelse
Det er verdt å merke seg at angrepene som involverer PathWiper ikke inkluderer noen form for utpressing eller krav om løsepenger. Dette fraværet bekrefter hovedmålet: total forstyrrelse av driften, snarere enn økonomisk gevinst.
Vindusviskere: Et tilbakevendende verktøy i hybridkrigføring
Siden krigen startet i Ukraina har dataviskere blitt et kjennetegn på russiske cyberoperasjoner. Disse verktøyene har blitt brukt i flere kampanjer med ødeleggende effekt. Andre bemerkelsesverdige dataviskere som har blitt brukt i oppdagede angrepskampanjer inkluderer: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain og flere.
Hver av disse har spilt en rolle i en bredere strategi for å destabilisere ukrainsk infrastruktur gjennom cyberkrigføring.
Konklusjon: PathWiper markerer en farlig evolusjon
PathWiper eksemplifiserer den pågående opptrappingen av destruktive cyberverktøy som brukes mot Ukraina. Med avanserte unnvikelsesteknikker, dyp sabotasje på systemnivå og henvisning til kjente russiske anti-terror-terrorister, representerer det en betydelig trussel i landskapet av moderne cyberkonflikter.
