SwiftSlicer

Ukraina stała się ostatnio celem nowego cyberataku z Rosji, który obejmował użycie nieznanego narzędzia do czyszczenia danych o nazwie SwiftSlicer, napisanego w języku Golang. Uważa się, że atakiem kierowała Sandworm , sponsorowana przez państwo grupa hakerska, która wykazuje powiązania z Jednostką Wojskową 74455 GRU (Główny Zarząd Wywiadu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej). Szczegóły dotyczące groźnej kampanii i zagrożenia SwiftSlicer zostały ujawnione przez badaczy cyberbezpieczeństwa.

Zagrożone możliwości SwiftSlicer

Szkodliwe włamanie wdrażające SwiftSlicer zostało wykryte 25 stycznia 2023 r. Aby zrealizować swoje cele, cyberprzestępcy wykorzystali zasady grupy Active Directory. Gdy SwiftSlicer zostanie uruchomiony, jego uszkodzony kod usunie wszystkie kopie woluminów w tle plików i rekursywnie nadpisze pliki znajdujące się w %CSIDL_SYSTEM%\drivers, %CSIDL_SYSTEM_DRIVE%\Windows\NTDS i innych dyskach niesystemowych znalezionych na zaatakowanych urządzeniach. Docelowe pliki są niszczone przez nadpisywanie losowo generowanymi sekwencjami bajtów o długości 4096 bajtów. Po zakończeniu tego procesu zainfekowane urządzenia uruchamiały się ponownie.

Hakerzy Sandwork nadal atakują organizacje ukraińskie

Rosyjski kolektyw wrogi, Sandworm, został powiązany z wykorzystaniem wariantów złośliwego oprogramowania wycieraczek w atakach mających na celu spowodowanie zakłóceń i zniszczeń na Ukrainie. Grupa ta, znana również jako BlackEnergy , Electrum, Iridium, Iron Viking, TeleBots i Voodoo Bear, działa od 2007 roku i jest odpowiedzialna za szereg wyrafinowanych kampanii cybernetycznych wymierzonych w organizacje na całym świecie. Przykłady ich niestandardowych narzędzi to BlackEnergy , GreyEnergy , Industroyer , NotPetya , Olympic Destroyer , Exaramel i Cyclops Blink .

Tylko w 2022 roku uruchomili WhisperGate , HermeticWiper , IsaacWiper , CaddyWiper , Industroyer2 , Prestige i RansomBoggs przeciwko infrastrukturze krytycznej na Ukrainie. Zbiega się to z inwazją wojskową Rosji na ten kraj. Ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) niedawno powiązał Sandworm z próbą cyberataku na Ukrinform – narodową agencję informacyjną – który miał miejsce nie później niż 7 grudnia 2022 r. W ten atak: CaddyWiper ; Zerowyczyść; SDusuń; AwfulShred i BidSwipe - skierowane na urządzenia z FreeBSD, Windows i Linux.