Eksperci rozgryźli wirusa, który zaatakował Ukrainę tuż przed inwazją

Obecnie eksperci informują o pojawieniu się jego nowych wersji oraz komponentu, który rozprzestrzenia w sieciach lokalnych pierwotne wersje oprogramowania użytego do ataku cybernetycznego poprzedzającego inwazję wojskową na Ukrainę.

Kalendarium działań cybernetycznych przeciwko Ukrainie

23 lutego 2022 r. przeprowadzony został cyberatak z wykorzystaniem złośliwego oprogramowania HermeticWiper, który uszkadza dane na dysku zainfekowanego komputera. Atak był wymierzony w ukraińskie organizacje państwowe, kluczowe z punktu funkcjonowania kraju. Ten cyberatak o kilka godzin poprzedził rozpoczęcie inwazji sił Federacji Rosyjskiej na Ukrainę. Początkowe wektory ataku różniły się w zależności od organizacji. Potwierdzony został jeden przypadek instalacji HermeticWipera poprzez GPO (pozwalające zainstalować dowolne oprogramowanie zdalnie). Ślady dotyczące złośliwego oprogramowania Wiper sugerują, że atak ten był planowany od kilku miesięcy.

Informacja o nieudanej aktualizacji aplikacji banku? Uwaga, to oszustwoMichał Górecki

Nowa wersja oprogramowania wykorzystywanego przez napastników

- 24 lutego 2022 rozpoczął się drugi atak na ukraińską sieć rządową, tym razem przy użyciu IsaacWiper. IsaacWiper występował jako biblioteka DLL systemu Windows lub plik wykonywalny EXE i nie posiadał podpisu Authenticode (weryfikującego autentyczność wydawcy aplikacji). W pliku zagrożenia odnaleźliśmy dane, które wskazują, że atak mógł być planowany od kilku miesięcy – mówi Kamil Sadkowki, starszy specjalista ds. cyberbezpieczeństwa w ESET. — IsaacWiper nie ma podobieństw w kodzie do HermeticWiper i jest znacznie mniej wyrafinowany. Biorąc pod uwagę oś czasu, możliwe jest, że oba są ze sobą powiązane, ale na ten moment nie zostało to potwierdzone — dodaje Kamil Sadkowski.

Badacze ESET zaobserwowali również oprogramowanie ransomware

Nazwane HermeticRansom, napisane w języku programowania Go i rozpowszechniane w tym samym czasie w ukraińskiej sieci. HermeticRansom został po raz pierwszy zgłoszony we wczesnych godzinach 24 lutego 2022 UTC na Twitterze.

- Nasze narzędzia telemetryczne pokazują znacznie mniejszą intensywność jego rozprzestrzeniania w porównaniu z HermeticWiper. W jednym analizowanym przypadku HermeticRansom oraz HermeticWiper zostały odnalezione na tej samej maszynie, a ich czasy instalacji mogą sugerować, że celem HermeticRansom było ukrycie działań realizowanych z wykorzystaniem tego drugiego — ocenia ekspert ESET.

25 lutego 2022 r. pojawiła się nowa wersja IsaacWipera, która zapisywała efekty działania Wipera do dziennika logowania.

– Zmiana może sugerować, że atakujący nie byli w stanie usunąć danych z niektórych zaatakowanych maszyn i dodali komunikaty dziennika, aby zrozumieć, dlaczego tak się dzieje — dodaje Kamil Sadkowski.

Badacze ESET informują, że odkryty został także robak używany do rozprzestrzeniania Wipera, na inne komputery połączone w sieci lokalnej.

Źródło: ESET.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.