Ukrayna'ya Yönelik Siber Saldırılarda Kullanılan Yeni Yıkıcı Kötü Amaçlı Yazılım
Ukrayna'daki savaş, başkent Kiev'deki son yıkımın raporları ve yerel belediye başkanı tarafından uygulanan sokağa çıkma yasağı ile devam ederken, siber alanda da savaş devam ediyor. Güvenlik araştırmacıları dün, birden fazla Ukrayna ağında yeni bir yıkıcı kötü amaçlı yazılım türünün tespit edildiğini bildirdi.
Yeni kötü amaçlı yazılım, verileri sızdırmaya veya fidye yazılımlarının yaptığı gibi şifrelemeye çalışmıyor, bir silecek işlevi görüyor. Bunun yerine, tehdit edici silecek araçları, veri kurtarmayı önlemek için ellerinden gelen her şeyi siler ve alanı temizler.
CaddyWiper Dosyaları, Bölümleri Siler
Yeni keşfedilen araca CaddyWiper adı verildi ve kötü amaçlı yazılım araştırmacıları tarafından bir Twitter gönderisinde ayrıntılı olarak açıklandı. Bu, ülkedeki askeri çatışmanın başlamasından bu yana Ukrayna'da vahşi doğada keşfedilen üçüncü tehdit edici silecek. İlginç bir şekilde, CaddyWiper'ın yükünün yepyeni olduğu ve Ukrayna'daki sistemlere saldırmak için kullanıldığı gün derlendiği ortaya çıktı.
Yeni piyasaya sürülen kötü amaçlı yazılımla ilgili bir başka ilginç detay, verileri yok ederken ve bölümleri silerken, etki alanı denetleyicilerine müdahale etmemesidir. Etki alanı denetleyicileri, kimlik doğrulama isteklerini işlemekten ve belirli bir ağdaki etki alanı kaynaklarına erişmekten sorumlu olan bir ağın parçalarıdır. Bu, aracın operatörlerine, verileri silme ana görevinin yanı sıra, güvenliği ihlal edilmiş sistemlere genişletilmiş erişim sağlamayı amaçladığı anlamına gelebilir.
CaddyWiper Daha Önce Tehlike Altında Olan Ağlara Yayılıyor
CaddyWiper'ı yaymak için kötüye kullanılan aracın Microsoft Grup İlkesi Nesneleri veya GPO'lar olduğu bulundu. Ancak, güvenliği ihlal edilmiş bir ağın en az bir örneğinde, kötü amaçlı yazılımı yaymak için varsayılan GPO'su kullanıldı. Bu, kendi içinde, CaddyWiper'ı çalıştıran üçüncü taraf ne olursa olsun, ağın Active Directory hizmetlerine zaten yetkisiz erişim elde ettiğini gösterir.
Son haftalarda Ukrayna hedeflerine yönelik siber saldırılarda kullanılan önceki iki tehdit aracı HermeticWiper ve IsaacWiper olarak adlandırıldı. Her iki aracın da yıkıcı yetenekleri vardı, ancak kod söz konusu olduğunda en son CaddyWiper ile anlamlı benzerlikler paylaşmıyorlardı.
CaddyWiper aracının Ukrayna'da kullanıldığı haberleriyle birlikte bu kez Rus petrol şirketi Rosneft'e yönelik bir siber saldırı daha manşetlere taşındı. Rosneft'in bir Alman yan kuruluşu, Anonymous olarak bilinen uluslararası hacktivist kolektif tarafından saldırıya uğradı. Raporlar, saldırıda 20 TB verinin çalındığını belirtiyor. Alman yetkililer saldırıyı araştırıyor. Rosneft Deutschland tesisleri etkilenmedi.