Шкідливе програмне забезпечення PathWiper
Новий штам руйнівного шкідливого програмного забезпечення, що отримав назву PathWiper, був виявлений у цілеспрямованих кібератаках, спрямованих на критичну інфраструктуру в Україні. Його основна мета зрозуміла: порушити та паралізувати операційні можливості в країні.
Зміст
Приховане розгортання за допомогою легітимних інструментів
Зловмисники розгорнули корисне навантаження PathWiper за допомогою легітимного інструменту адміністрування кінцевих точок. Такий метод доставки свідчить про те, що зловмисники вже отримали адміністративний доступ до цільових систем шляхом попереднього злому, що підкреслює складність та планування атаки.
Атрибуція: Повернення знайомого супротивника
Дослідники з кібербезпеки, які розслідували інцидент, з високою впевненістю пов'язують атаку з пов'язаною з Росією передовою постійною загрозою (APT). Тактика, методи та процедури (TTP), що спостерігалися, дуже нагадують тактику, методи та процедури Sandworm, відомої групи зловмисників, яка раніше відповідала за розгортання HermeticWiper в Україні.
PathWiper: Ймовірний наступник HermeticWiper
PathWiper має значну схожість із HermeticWiper, що свідчить про те, що він може бути еволюцією попереднього шкідливого програмного забезпечення. Обидва прагнуть завдати максимальної шкоди шляхом пошкодження критично важливих системних даних, а перекриття в поведінці передбачає залучення тих самих або тісно пов'язаних кластерів загроз.
Багатоетапний ланцюг атак
Шкідливе програмне забезпечення виконується через багатоетапний процес:
- Пакетний файл Windows запускає шкідливий VBScript (uacinstall.vbs).
- Скрипт скидає та виконує основне корисне навантаження (sha256sum.exe), замаскований під легітимний інструмент адміністрування, щоб уникнути виявлення.
Розширене перерахування дисків та саботаж томів
На відміну від HermeticWiper, який зосереджувався на перерахуванні фізичних дисків, PathWiper йде далі, програмно ідентифікуючи всі підключені диски, включаючи локальні, мережеві та відключені томи. Потім він використовує API Windows для відключення цих томів, готуючись до саботажу.
Шкідливе програмне забезпечення створює потоки для кожного тому, щоб перезаписати важливі структури NTFS, що фактично робить системи непрацездатними.
Цілеспрямоване знищення основних системних файлів
Серед системних компонентів, які пошкоджує PathWiper, є:
- MBR (головний завантажувальний запис): містить завантажувач і таблицю розділів.
- $MFT (Головна таблиця файлів): Зберігає індекс усіх файлів і каталогів.
- $LogFile: Відстежує зміни на предмет цілісності та відновлення.
- $Boot: Зберігає інформацію про завантажувальний сектор та файлову систему.
Крім того, п'ять інших критично важливих файлів метаданих NTFS перезаписуються випадковими байтами, що ще більше гарантує неможливість відновлення уражених систем.
Ні викупу, ні вимог – лише знищення
Примітно, що атаки, що стосуються PathWiper, не містять жодної форми вимагання чи вимагання викупу. Ця відсутність підтверджує основну мету: повне порушення операційної діяльності, а не фінансова вигода.
Двірники: повторюваний інструмент у гібридній війні
З початку війни в Україні стирачі даних стали візитною карткою російських кібераперацій. Ці інструменти були застосовані в численних кампаніях з руйнівним ефектом. Інші помітні стирачі, що використовувалися у виявлених атаках, включають: CaddyWiper , HermeticWiper , IsaacWiper , AcidRain та інші.
Кожен з них відіграв певну роль у ширшій стратегії дестабілізації української інфраструктури за допомогою кібервійни.
Висновок: PathWiper знаменує собою небезпечну еволюцію
PathWiper є прикладом постійної ескалації руйнівних кіберінструментів, що використовуються проти України. Завдяки передовим методам ухилення, глибокому саботажу на системному рівні та атрибуції, що вказує на відомі російські APT, він становить значну загрозу в ландшафті сучасного кіберконфлікту.
