Злонамерни софтвер PathWiper
Нови сој деструктивног малвера, назван PathWiper, идентификован је у циљаним сајбер нападима усмереним на критичну инфраструктуру у Украјини. Његов примарни циљ је јасан: да поремети и осакатити оперативне капацитете унутар земље.
Преглед садржаја
Прикривено распоређивање путем легитимних алата
Нападачи су распоредили PathWiper корисни садржај користећи легитиман алат за администрирање крајњих тачака. Овај метод испоруке сугерише да су актери претње већ остварили административни приступ циљаним системима путем претходног компромитовања, што истиче софистицираност и планирање иза напада.
Атрибуција: Познати противник се враћа
Истраживачи сајбер безбедности који истражују инцидент са великом сигурношћу приписали су напад напредној перзистентној претњи (APT) повезаној са Русијом. Тактике, технике и процедуре (TTP) које су уочене веома подсећају на оне групе Sandworm, познате групе за претње која је раније била одговорна за распоређивање HermeticWiper-а у Украјини.
PathWiper: Вероватни наследник HermeticWiper-а
PathWiper дели значајне сличности са HermeticWiper-ом, што сугерише да би могао бити еволуција тог ранијег малвера. Оба имају за циљ да нанесу максималну штету оштећењем критичних системских података, а преклапање у понашању имплицира учешће истих или блиско повезаних кластера претњи.
Вишестепени ланац напада
Злонамерни софтвер се извршава кроз вишестепени процес:
- Виндоус пакетна датотека покреће злонамерни VBScript (uacinstall.vbs).
- Скрипта испушта и извршава основни корисни терет (sha256sum.exe), прикривена да личи на легитиман административни алат како би избегла откривање.
Напредно набрајање дискова и саботажа запремине
За разлику од HermeticWiper-а, који се фокусирао на набрајање физичких дискова, PathWiper иде корак даље програмски идентификујући све повезане дискове, укључујући локалне, мрежне и демонтиране томове. Затим користи Windows API-је за демонтирање ових томова у припреми за саботажу.
Злонамерни софтвер покреће нити за сваки том како би преписао битне NTFS структуре, ефикасно чинећи системе неоперативним.
Циљано уништавање основних системских датотека
Међу системским компонентама које PathWiper оштећује су:
- MBR (Master Boot Record): Садржи покретачки програм и табелу партиција.
- $MFT (Главна табела датотека): Одржава индекс свих датотека и директоријума.
- $LogFile: Прати промене ради интегритета и опоравка.
- $Boot: Чува информације о сектору за покретање и систему датотека.
Поред тога, пет других критичних NTFS датотека са метаподацима се преписује случајним бајтовима, што додатно осигурава да се погођени системи не могу опоравити.
Без откупа, без захтева - само уништење
Приметно је да напади који укључују PathWiper не укључују никакав облик изнуде или захтева за откуп. Ово одсуство потврђује примарни циљ: потпуно прекидање пословања, а не финансијску добит.
Брисачи: Понављајући алат у хибридном ратовању
Од почетка рата у Украјини, брисачи података постали су обележје руских сајбер операција. Ови алати су коришћени у више кампања са разарајућим ефектом. Други значајни брисачи који су коришћени у кампањама откривених напада укључују: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain и друге.
Свака од њих је играла улогу у широј стратегији дестабилизације украјинске инфраструктуре путем сајбер ратовања.
Закључак: PathWiper означава опасну еволуцију
PathWiper је пример континуиране ескалације деструктивних сајбер алата који се користе против Украјине. Са напредним техникама избегавања, дубоком саботажом на нивоу система и атрибуцијом која указује на познате руске додатне платформе за превенцију, представља значајну претњу у пејзажу модерног сајбер сукоба.
