Škodlivý softvér PathWiper
Pri cielených kybernetických útokoch zameraných na kritickú infraštruktúru na Ukrajine bol identifikovaný nový kmeň deštruktívneho malvéru s názvom PathWiper. Jeho hlavný cieľ je jasný: narušiť a ochromiť operačné schopnosti v krajine.
Obsah
Nenápadné nasadenie prostredníctvom legitímnych nástrojov
Útočníci nasadili dátový balík PathWiper pomocou legitímneho nástroja na správu koncových bodov. Táto metóda doručenia naznačuje, že útočníci už získali administratívny prístup k cieľovým systémom prostredníctvom predchádzajúceho kompromitovania, čo poukazuje na sofistikovanosť a plánovanie útoku.
Pripisovanie: Návrat známeho protivníka
Výskumníci v oblasti kybernetickej bezpečnosti, ktorí incident vyšetrujú, s vysokou istotou pripísali útok pokročilej perzistentnej hrozbe (APT) spojenej s Ruskom. Pozorované taktiky, techniky a postupy (TTP) sa veľmi podobajú taktikám skupiny Sandworm, známej skupiny hrozbárov, ktorá bola predtým zodpovedná za nasadenie HermeticWiper na Ukrajine.
PathWiper: Pravdepodobný nástupca HermeticWiper
PathWiper má s HermeticWiperom značné podobnosti, čo naznačuje, že by mohol byť vývojom tohto staršieho malvéru. Oba sa zameriavajú na spôsobenie maximálneho poškodenia poškodením kritických systémových údajov a prekrývanie sa v správaní naznačuje zapojenie rovnakých alebo úzko súvisiacich klastrov hrozieb.
Viacstupňový útočný reťazec
Škodlivý softvér sa spúšťa prostredníctvom viacstupňového procesu:
- Dávkový súbor systému Windows spúšťa škodlivý skript VBScript (uacinstall.vbs).
- Skript odstráni a spustí základnú dátovú záťaž (sha256sum.exe) maskovanú tak, aby pripomínala legitímny administratívny nástroj, aby sa vyhla detekcii.
Pokročilé vyčíslovanie diskov a sabotáž zväzkov
Na rozdiel od HermeticWiperu, ktorý sa zameriaval na vymenovanie fyzických diskov, PathWiper ide ešte o krok ďalej a programovo identifikuje všetky pripojené disky vrátane lokálnych, sieťových a odpojených zväzkov. Následne využíva rozhrania API systému Windows na odpojenie týchto zväzkov v rámci prípravy na sabotáž.
Malvér vytvára pre každý zväzok vlákna, ktoré prepíšu základné štruktúry NTFS, čím efektívne znefunkčnia systémy.
Cielené zničenie základných systémových súborov
Medzi systémové komponenty, ktoré PathWiper poškodzuje, patria:
- MBR (hlavný zavádzací záznam): Obsahuje zavádzací program a tabuľku oddielov.
- $MFT (Hlavná tabuľka súborov): Uchováva index všetkých súborov a adresárov.
- $LogFile: Sleduje zmeny z hľadiska integrity a obnovy.
- $Boot: Uchováva informácie o zavádzacom sektore a súborovom systéme.
Okrem toho sa päť ďalších kritických súborov s metadátami NTFS prepíše náhodnými bajtami, čím sa ďalej zabezpečí, že postihnuté systémy nebude možné obnoviť.
Žiadne výkupné, žiadne požiadavky - iba zničenie
Je pozoruhodné, že útoky zahŕňajúce PathWiper nezahŕňajú žiadnu formu vydierania ani požiadavky na výkupné. Táto absencia potvrdzuje primárny cieľ: úplné narušenie prevádzky, a nie finančný zisk.
Stierače: Opakujúci sa nástroj v hybridnej vojne
Od začiatku vojny na Ukrajine sa stali nástroje na stieranie dát charakteristickým znakom ruských kybernetických operácií. Tieto nástroje boli nasadené vo viacerých kampaniach s ničivým účinkom. Medzi ďalšie významné nástroje na stieranie dát použité v detekovaných útočných kampaniach patria: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain a ďalšie.
Každý z nich zohral úlohu v širšej stratégii destabilizácie ukrajinskej infraštruktúry prostredníctvom kybernetickej vojny.
Záver: PathWiper predstavuje nebezpečný vývoj
PathWiper je príkladom prebiehajúcej eskalácie deštruktívnych kybernetických nástrojov používaných proti Ukrajine. Vďaka pokročilým technikám obchádzania, hlbokej sabotáži na systémovej úrovni a pripisovaniu známym ruským APT predstavuje významnú hrozbu v prostredí moderného kybernetického konfliktu.
