Oprogramowanie złośliwe PathWiper
Nowy szczep destrukcyjnego oprogramowania złośliwego, nazwany PathWiper, został zidentyfikowany w ukierunkowanych cyberatakach na krytyczną infrastrukturę na Ukrainie. Jego główny cel jest jasny: zakłócić i sparaliżować zdolności operacyjne w kraju.
Spis treści
Ukryte wdrażanie za pomocą legalnych narzędzi
Atakujący wdrożyli ładunek PathWiper przy użyciu legalnego narzędzia do administrowania punktami końcowymi. Ta metoda dostarczania sugeruje, że sprawcy zagrożenia uzyskali już dostęp administracyjny do docelowych systemów poprzez wcześniejsze naruszenie, co podkreśla wyrafinowanie i planowanie stojące za atakiem.
Atrybucja: Powrót znanego przeciwnika
Badacze cyberbezpieczeństwa badający incydent przypisali atak z dużym prawdopodobieństwem powiązanemu z Rosją zaawansowanemu trwałemu zagrożeniu (APT). Zaobserwowane taktyki, techniki i procedury (TTP) bardzo przypominają te stosowane przez Sandworm, znaną grupę zagrożeń, która wcześniej odpowiadała za wdrożenie HermeticWiper na Ukrainie.
PathWiper: Prawdopodobny następca HermeticWiper
PathWiper ma znaczące podobieństwa do HermeticWiper, co sugeruje, że może być ewolucją wcześniejszego złośliwego oprogramowania. Oba mają na celu wyrządzenie maksymalnych szkód poprzez uszkodzenie krytycznych danych systemowych, a nakładanie się zachowań sugeruje zaangażowanie tych samych lub blisko spokrewnionych klastrów zagrożeń.
Wieloetapowy łańcuch ataków
Złośliwe oprogramowanie uruchamia się poprzez wieloetapowy proces:
- Plik wsadowy systemu Windows uruchamia złośliwy skrypt VBScript (uacinstall.vbs).
- Skrypt pobiera i uruchamia główny ładunek (sha256sum.exe), który jest zamaskowany tak, aby przypominał legalne narzędzie administracyjne, co ma na celu uniknięcie wykrycia.
Zaawansowane wyliczanie dysków i sabotaż woluminów
W przeciwieństwie do HermeticWiper, który skupiał się na wyliczaniu dysków fizycznych, PathWiper idzie o krok dalej, programowo identyfikując wszystkie podłączone dyski, w tym lokalne, sieciowe i odmontowane woluminy. Następnie wykorzystuje interfejsy API systemu Windows do odmontowania tych woluminów w przygotowaniu do sabotażu.
Złośliwe oprogramowanie tworzy wątki dla każdego woluminu, aby nadpisać niezbędne struktury NTFS, co skutecznie uniemożliwia działanie systemów.
Celowe niszczenie plików systemowych
PathWiper uszkadza następujące elementy systemu:
- MBR (Master Boot Record): Zawiera program ładujący i tabelę partycji.
- $MFT (Master File Table): Utrzymuje indeks wszystkich plików i katalogów.
- $LogFile: śledzi zmiany pod kątem integralności i odzyskiwania.
- $Boot: Przechowuje informacje o sektorze rozruchowym i systemie plików.
Ponadto pięć innych ważnych plików metadanych NTFS zostaje nadpisanych losowymi bajtami, co dodatkowo uniemożliwia odzyskanie dotkniętych systemów.
Bez okupu, bez żądań – tylko zniszczenie
Co ciekawe, ataki z udziałem PathWiper nie obejmują żadnej formy wymuszenia lub żądania okupu. Ta nieobecność potwierdza główny cel: całkowite zakłócenie operacji, a nie zysk finansowy.
Wycieraczki: Powracające narzędzie w wojnie hybrydowej
Od początku wojny na Ukrainie, data wipery stały się znakiem rozpoznawczym rosyjskich cyberoperacji. Narzędzia te zostały wdrożone w wielu kampaniach z niszczycielskim skutkiem. Inne godne uwagi wipery używane w wykrytych kampaniach ataków to: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain i inne.
Każde z nich odegrało rolę w szerszej strategii destabilizacji ukraińskiej infrastruktury za pomocą cyberwojny.
Wnioski: PathWiper oznacza niebezpieczną ewolucję
PathWiper jest przykładem trwającej eskalacji destrukcyjnych narzędzi cybernetycznych używanych przeciwko Ukrainie. Z zaawansowanymi technikami unikania, głębokim sabotażem na poziomie systemowym i atrybucją wskazującą na znane rosyjskie APT, stanowi on poważne zagrożenie w krajobrazie współczesnego cyberkonfliktu.
