Krátko po ruskej vojenskej invázii zasiahol ukrajinskú vládnu sieť ďalší deštruktívny malvér IsaacWiper
- 23. februára zasiahla viaceré ukrajinské organizácie ničivá kybernetická operácia, pri ktorej bol použitý malvér HermeticWiper (spoločne s malvérom HermeticWizard a HermeticRansom). Tento kybernetický útok predchádzal ruskej vojenskej invázii, ktorá prišla o niekoľko hodín.
- Malvér HermeticWiper sa sám vymaže z disku prepísaním vlastného súboru náhodnými dátami, s najväčšou pravdepodobnosťou so zámerom znemožnenia forenznej analýzy po kybernetickom incidente.
- HermeticWiper sa v skompromitovaných sieťach množí prostredníctvom vlastného červa, ktorého sme nazvali HermeticWizard.
- 24. februára prišiel druhý ničivý kybernetický útok na ukrajinskú vládnu sieť prostredníctvom malvéru, ktorý ESET pomenoval IsaacWiper.
- 25. februára použili útočníci novú verziu malvéru IsaacWiper. Táto zaznamenávala aj chyby, ktoré nastali pri jeho spustení, čo môže naznačovať, že útočníkom sa nepodarilo vymazať obsah z niektorých zasiahnutých zariadení.
- Analýza vzoriek malvéru naznačuje, že útoky boli plánované niekoľko mesiacov dopredu.
- Výskumníkom spoločnosti ESET sa zatiaľ nepodarilo pripísať útoky konkrétnemu aktérovi.
Počas začiatku ruskej invázie na Ukrajine objavili výskumníci spoločnosti ESET dve nové rodiny škodlivého kódu, ktoré zasiahli ukrajinské organizácie. V oboch prípadoch ide o malvér typu data wiper, ktorý maže užívateľské dáta. Prvý kybernetický útok prišiel niekoľko hodín pred ruskou vojenskou inváziou a krátko po DDoS útokoch na veľké ukrajinské webové stránky, ku ktorým došlo v rovnaký deň. Ničivé útoky pozostávali najmenej z troch komponentov: HermeticWiper slúžil na vymazanie dát, červ HermeticWizard rozšíril malvér do lokálnej siete a ransomvér HermeticRansom slúžil pravdepodobne na odlákanie pozornosti. Vzorky malvéru naznačujú, že útoky boli plánované niekoľko mesiacov. Ako ruská invázia pokračovala, ukrajinskú vládnu sieť zasiahol druhý ničivý kybernetický útok, využívajúci wiper, ktorý ESET pomenoval IsaacWiper.
„V súčasnosti preverujeme, či existujú prepojenia medzi malvérmi IsaacWiper a HermeticWiper. Je dôležité povedať, že IsaacWiper zasiahol ukrajinské vládne organizácie, ktoré neboli postihnuté malvérom HermeticWiper,“ uviedol Jean-Ian Boutin, vedúci výskumu hrozieb spoločnosti ESET.
Výskumníci spoločnosti ESET s veľkou pravdepodobnosťou odhadujú, že zasiahnuté organizácie boli skompromitované už dlhšie pred zavedením wipera. „Vyplýva to z niekoľkých zistení: najstarší časový odtlačok malvéru HermeticWiper pochádza z 28. decembra 2021 a k vydaniu digitálneho certifikátu došlo už 13. apríla 2021. Minimálne v jednom prípade došlo tiež k nasadeniu malvéru HermeticWiper prostredníctvom nastavenia domény, čo naznačuje, že útočníci mali už dopredu prístup k jednému zo serverov Active Directory, ktoré patrili obeti,“ vysvetľuje Boutin.
Telemetria spoločnosti ESET objavila malvér IsaacWiper 24. februára. Najstarší časový odtlačok pochádzal z 19. októbra 2021. Ak sa s ním nemanipulovalo, znamená to, že malvér mohol byť použitý počas operácií už pred niekoľkými mesiacmi.
V prípade malvéru HermeticWiper ESET spozoroval prvky pohybu po sieti v zasiahnutých organizáciách a odhaduje, že útočníci pravdepodobne prevzali kontrolu nad serverom Active Directory. Na mieru upravený červ, ktorého ESET pomenoval ako HermeticWizard, bol použitý na šírenie wipera HermeticWiper naprič skompromitovanými sieťami. Pri druhom wiperi, IsaacWiper, použili na vniknutie do siete útočníci nástroj na vzdialený prístup RemCom a pravdepodobne aj Impacket.
Malvér HermeticWiper sa navyše dokáže sám vymazať z disku a to prepísaním svojho súboru náhodnými dátami. S najväčšou pravdepodobnosťou ide o zámer znemožniť forenznú analýzu po kybernetickom incidente. V tom istom čase ako HermeticWiper, nasadili útočníci aj ransomvér HermeticRansom, pravdepodobne na odlákanie pozornosti od wipera HermeticWiper.
Iba deň po nasadení malvéru IsaacWiper, nasadili útočníci jeho novú verziu, ktorá zaznamenávala aj chyby, ktoré nastali pri jeho spustení. To môže naznačovať, že sa útočníkom nepodarilo vymazať obsah z niektorých zasiahnutých zariadení a chceli zistiť, prečo neboli úspešní.
Výskumníkom spoločnosti ESET sa doposiaľ nepodarilo pripísať tieto útoky konkrétnym vinníkom. Môže za to najmä nedostatok významnejšej podobnosti kódu so vzorkami malvérov, ktorými disponuje spoločnosť ESET.
Pojem „Hermetic“ je odvodený od názvu cyperskej spoločnosti Hermetica Digital Ltd, ktorej bol vydaný digitálny certifikát. Podľa agentúry Reuters sa nezdá, že by bol od spoločnosti Hermetica Digital certifikát ukradnutý. Pravdepodobnejšie je, že útočníci sa vydávali za firmu, aby dostali certifikát od spoločnosti DigiCert. Výskumníci spoločnosti ESET požiadali DigiCert, aby okamžite zrušil tento certifikát.
Viac technických informácií nájdete v anglickom jazyku v špeciálnom blogu na našej stránke WeLiveSecurity.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.