PathWiper Malware
युक्रेनमा महत्वपूर्ण पूर्वाधारमा लक्षित साइबर आक्रमणहरूमा पाथवाइपर भनिने विनाशकारी मालवेयरको नयाँ प्रजाति पहिचान गरिएको छ। यसको प्राथमिक उद्देश्य स्पष्ट छ: देश भित्रको सञ्चालन क्षमताहरूलाई बाधा पुर्याउनु र अपाङ्ग बनाउनु।
सामग्रीको तालिका
वैध उपकरणहरू मार्फत गोप्य तैनाती
आक्रमणकारीहरूले वैध एन्डपोइन्ट प्रशासन उपकरण प्रयोग गरेर पाथवाइपर पेलोड तैनाथ गरे। डेलिभरीको यो विधिले संकेत गर्छ कि खतरा अभिनेताहरूले पहिले नै सम्झौता मार्फत लक्षित प्रणालीहरूमा प्रशासनिक पहुँच प्राप्त गरिसकेका थिए, जसले आक्रमण पछाडिको परिष्कार र योजनालाई प्रकाश पार्छ।
विशेषता: एक परिचित विरोधी फर्कन्छ
घटनाको अनुसन्धान गरिरहेका साइबरसुरक्षा अनुसन्धानकर्ताहरूले आक्रमणलाई उच्च विश्वासका साथ रूस-सम्बन्धित उन्नत पर्सिस्टेन्ट थ्रेट (APT) लाई श्रेय दिएका छन्। अवलोकन गरिएका रणनीति, प्रविधि र प्रक्रियाहरू (TTPs) युक्रेनमा हर्मेटिकवाइपर तैनाथ गर्न पहिले जिम्मेवार रहेको ज्ञात खतरा समूह स्यान्डवर्मसँग मिल्दोजुल्दो छन्।
पाथवाइपर: हर्मेटिकवाइपरको सम्भावित उत्तराधिकारी
पाथवाइपरले हर्मेटिकवाइपरसँग महत्वपूर्ण समानताहरू साझा गर्दछ, जसले सुझाव दिन्छ कि यो पहिलेको मालवेयरको विकास हुन सक्छ। दुबैको उद्देश्य महत्वपूर्ण प्रणाली डेटा भ्रष्ट गरेर अधिकतम क्षति पुर्याउनु हो, र व्यवहारमा ओभरल्यापले समान वा नजिकबाट सम्बन्धित खतरा क्लस्टरहरूको संलग्नतालाई जनाउँछ।
बहु-चरण आक्रमण श्रृंखला
मालवेयरले बहु-चरणीय प्रक्रिया मार्फत कार्यान्वयन गर्छ:
- विन्डोज ब्याच फाइलले खराब VBScript (uacinstall.vbs) ट्रिगर गर्छ।
- स्क्रिप्टले कोर पेलोड (sha256sum.exe) छोड्छ र कार्यान्वयन गर्छ, जुन पत्ता लगाउनबाट बच्नको लागि वैध प्रशासनिक उपकरण जस्तो देखिन्छ।
उन्नत ड्राइभ गणना र भोल्युम तोडफोड
भौतिक ड्राइभहरूको गणनामा केन्द्रित हर्मेटिकवाइपरको विपरीत, पाथवाइपरले स्थानीय, नेटवर्क, र डिस्माउन्ट गरिएको भोल्युमहरू सहित सबै जडान गरिएका ड्राइभहरूलाई प्रोग्रामेटिक रूपमा पहिचान गरेर एक कदम अगाडि बढ्छ। त्यसपछि यसले तोडफोडको तयारीमा यी भोल्युमहरूलाई डिस्माउन्ट गर्न विन्डोज एपीआईहरूको प्रयोग गर्दछ।
मालवेयरले आवश्यक NTFS संरचनाहरूलाई ओभरराइट गर्न प्रत्येक भोल्युमको लागि थ्रेडहरू उत्पन्न गर्दछ, जसले गर्दा प्रणालीहरूलाई प्रभावकारी रूपमा निष्क्रिय बनाउँछ।
कोर प्रणाली फाइलहरूको लक्षित विनाश
PathWiper ले भ्रष्ट पार्ने प्रणाली कम्पोनेन्टहरू मध्ये निम्न हुन्:
- MBR (मास्टर बुट रेकर्ड): यसमा बुटलोडर र विभाजन तालिका हुन्छ।
- $MFT (मास्टर फाइल तालिका): सबै फाइल र निर्देशिकाहरूको अनुक्रमणिका कायम राख्छ।
- $LogFile: अखण्डता र पुनःप्राप्तिको लागि परिवर्तनहरू ट्र्याक गर्दछ।
- $Boot: बुट सेक्टर र फाइल प्रणाली जानकारी भण्डारण गर्दछ।
थप रूपमा, पाँच अन्य महत्वपूर्ण NTFS मेटाडेटा फाइलहरू अनियमित बाइटहरूसँग ओभरराइट गरिएका छन्, जसले गर्दा प्रभावित प्रणालीहरू पुन: प्राप्ति गर्न सकिँदैन भन्ने कुरा सुनिश्चित हुन्छ।
फिरौती छैन, माग छैन - केवल विनाश
उल्लेखनीय कुरा के छ भने, PathWiper सँग सम्बन्धित आक्रमणहरूमा कुनै पनि प्रकारको जबरजस्ती रकम असुल्ने वा फिरौती माग समावेश छैन। यो अनुपस्थितिले प्राथमिक उद्देश्यलाई पुष्टि गर्छ: आर्थिक लाभको सट्टा सञ्चालनको पूर्ण अवरोध।
वाइपरहरू: हाइब्रिड युद्धमा एक आवर्ती उपकरण
युक्रेनमा युद्ध सुरु भएदेखि, डेटा वाइपरहरू रूसी साइबर अपरेशनहरूको पहिचान बनेका छन्। यी उपकरणहरू विनाशकारी प्रभावका साथ धेरै अभियानहरूमा तैनाथ गरिएका छन्। पत्ता लगाइएका आक्रमण अभियानहरूमा प्रयोग हुने अन्य उल्लेखनीय वाइपरहरूमा समावेश छन्: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain , र थप।
यी प्रत्येकले साइबरयुद्ध मार्फत युक्रेनी पूर्वाधारलाई अस्थिर बनाउने व्यापक रणनीतिमा भूमिका खेलेका छन्।
निष्कर्ष: पाथवाइपरले खतरनाक विकासलाई चिन्ह लगाउँछ
पाथवाइपरले युक्रेन विरुद्ध प्रयोग हुने विनाशकारी साइबर उपकरणहरूमा भइरहेको वृद्धिको उदाहरण दिन्छ। उन्नत चोरी प्रविधिहरू, गहिरो प्रणाली-स्तर तोडफोड, र ज्ञात रूसी एपीटीहरूलाई औंल्याउने श्रेयको साथ, यसले आधुनिक साइबर द्वन्द्वको परिदृश्यमा एक महत्त्वपूर्ण खतराको प्रतिनिधित्व गर्दछ।
