Zlonamerna programska oprema PathWiper
V ciljno usmerjenih kibernetskih napadih na kritično infrastrukturo v Ukrajini je bil odkrit nov sev uničujoče zlonamerne programske opreme, imenovan PathWiper. Njegov glavni cilj je jasen: motiti in ohromiti operativne zmogljivosti znotraj države.
Kazalo
Prikrita namestitev prek legitimnih orodij
Napadalci so koristni tovor PathWiper namestili z legitimnim orodjem za upravljanje končnih točk. Ta način dostave nakazuje, da so akterji grožnje že pridobili administratorski dostop do ciljnih sistemov s predhodnim vdorom, kar poudarja sofisticiranost in načrtovanje napada.
Pripisovanje: Znani nasprotnik se vrača
Raziskovalci kibernetske varnosti, ki preiskujejo incident, so napad z veliko gotovostjo pripisali ruski napredni vztrajni grožnji (APT). Opažene taktike, tehnike in postopki (TTP) so zelo podobni tistim skupine Sandworm, znane skupine za grožnje, ki je bila prej odgovorna za namestitev sistema HermeticWiper v Ukrajini.
PathWiper: Verjeten naslednik HermeticWiperja
PathWiper ima precejšnje podobnosti s HermeticWiperjem, kar nakazuje, da gre morda za razvoj te prejšnje zlonamerne programske opreme. Oba si prizadevata povzročiti največjo škodo s poškodovanjem kritičnih sistemskih podatkov, prekrivanje v vedenju pa nakazuje na vpletenost istih ali tesno povezanih grozdov groženj.
Večstopenjska napadalna veriga
Zlonamerna programska oprema se izvaja v večstopenjskem postopku:
- Paketna datoteka sistema Windows sproži zlonamerno kodo VBScript (uacinstall.vbs).
- Skripta spusti in izvede osnovno programsko opremo (sha256sum.exe), prikrito kot legitimno skrbniško orodje, da se izogne odkrivanju.
Napredno naštevanje pogonov in sabotaža nosilcev podatkov
Za razliko od programa HermeticWiper, ki se je osredotočal na naštevanje fizičnih pogonov, gre PathWiper še korak dlje, saj programsko identificira vse povezane pogone, vključno z lokalnimi, omrežnimi in odklopljenimi nosilci podatkov. Nato s pomočjo Windows API-jev odklopi te nosilce podatkov in se tako pripravi na sabotažo.
Zlonamerna programska oprema za vsak nosilec podatkov ustvari niti, s katerimi prepiše bistvene strukture NTFS, kar učinkovito onemogoči delovanje sistemov.
Ciljno uničenje osnovnih sistemskih datotek
Med sistemskimi komponentami, ki jih PathWiper poškoduje, so:
- MBR (glavni zagonski zapis): Vsebuje zagonski nalagalnik in tabelo particij.
- $MFT (glavna tabela datotek): Vzdržuje indeks vseh datotek in imenikov.
- $LogFile: Spremlja spremembe glede integritete in obnovitve.
- $Boot: Shranjuje informacije o zagonskem sektorju in datotečnem sistemu.
Poleg tega je pet drugih kritičnih datotek z metapodatki NTFS prepisanih z naključnimi bajti, kar dodatno zagotavlja, da prizadetih sistemov ni mogoče obnoviti.
Brez odkupnine, brez zahtev - samo uničenje
Omeniti velja, da napadi, v katere je bil vpleten PathWiper, ne vključujejo nobene oblike izsiljevanja ali zahteve po odkupnini. Ta odsotnost potrjuje primarni cilj: popolno prekinitev delovanja in ne finančna korist.
Brisalci: ponavljajoče se orodje v hibridnem vojskovanju
Od začetka vojne v Ukrajini so brisalci podatkov postali zaščitni znak ruskih kibernetskih operacij. Ta orodja so bila uporabljena v številnih kampanjah z uničujočim učinkom. Drugi omembe vredni brisalci, uporabljeni v kampanjah zaznanih napadov, vključujejo: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain in druge.
Vsak od teh je igral vlogo v širši strategiji destabilizacije ukrajinske infrastrukture s kibernetskim bojevanjem.
Zaključek: PathWiper označuje nevarno evolucijo
PathWiper ponazarja nenehno stopnjevanje uporabe uničujočih kibernetskih orodij proti Ukrajini. Z naprednimi tehnikami izogibanja, globokimi sabotažami na sistemski ravni in pripisovanjem znanih ruskih APT-jev predstavlja pomembno grožnjo v okolju sodobnih kibernetskih konfliktov.
