Złośliwe oprogramowanie typu wiper wykryte na Ukrainie

Konflikt na Ukrainie zamienił się w pełnoprawną wojnę. Działania militarne rozgrywają się nie tylko w powietrzu i na lądzie, ale także w sieci. Ukraińskie infrastruktury raz za razem zmagają się z cybernetycznymi atakami, mającymi na celu zdestabilizowanie aktywności krajowych służb. Badacze z ESET wykryli wczoraj obecność oprogramowania wiper, którego celem jest permanentne wymazanie danych z dysku. To już trzeci taki przypadek od początku inwazji.

Oprogramowanie wymazujące dyski wykryte na Ukrainie

Wiper to złośliwe oprogramowanie, służące do infekowania dysków i wymazywania z nich danych. Pierwszy przypadek jego użycia został zauważony dzień przed atakiem Rosji, i był wymierzony w Ukraińskie organizacje państwowe. Drugie uderzenie nastąpiło dzień później, 24 lutego. Oprogramowanie nazwane przez badaczy IsaacWiper nie miało podobieństwa w kodzie do pierwszej wersji – HermeticWiper. Istotny jest jednak fakt, że ślady pozostawione przez oba wipery wskazywały na fakt, iż atak był przygotowywany od kilku miesięcy. Co ciekawe 25 lutego pojawiła się druga wersja IsaacWipera, zapisująca efekty działania do dziennika logowania. Zupełnie tak, jakby hakerzy nie byli w stanie usunąć niektórych danych i chcieli uzyskać informację o tym dlaczego tak się dzieje.

W odróżnieniu od oprogramowania ransomware – szyfrującego dane dysku w oczekiwaniu na okup – wipery wymazują dyski bezpowrotnie, zatem ich celem jest wyrządzenie jak największych szkód w zainfekowanym systemie. Jeśli oprogramowanie skutecznie wykonane swoje zadanie, to dysk staje się bezużyteczny. Są one jednak podobne pod względem uzyskiwania dostępu do plików i możliwości ich modyfikacji. Wipery mogą się także przemieszczać między komputerami połączonymi w sieci lokalnej dzięki specjalnemu robakowi.

Wiper uderza po raz trzeci

We wczorajszym wpisie na Twitterze słowaccy specjaliści z ESET poinformowali o wykryciu trzeciego szczepu szkodliwego oprogramowania. Z opisu wynika, że CaddyWiper uszkadza pliki komputera poprzez nadpisywanie znakami null-byte uniemożliwiając odzyskanie danych. ESET przekazał, że atak został wymierzony w jedną z ukraińskich organizacji powiązanych z rządem. Podobnie jak w przypadku poprzednich wersji, CaddyWiper zainfekował systemy przy użyciu GPO, pozwalającego na zdalne instalowanie programów. CaddyWiper nie wykazuje jednak podobieństwa kodu z HermeticWiper i IsaacWiper. ESET podkreśla także, że nie przypomina on żadnego znanego im oprogramowania. Atak nie został powiązany z żadną konkretną grupą hakerską, jednak wszystko wskazuje na to, że ma on charakter prorosyjski.

Czytaj dalej poniżej

Money.pl pod ostrzałem hakerów. Serwis przenosi do antyukraińskiego przesłania Piotr Kurek

Skąd tyle ataków w polskiej sieci? 84% Polaków nie wie czym jest phishing Grzegorz Ułan

Cybernetyczna wojna nie jest aż tak intensywna jak rzeczywiste działania militarne, jednak może to być dopiero wstęp do poważniejszych ataków. Amerykańska agencja do spraw cyberbezpieczeństwa opublikowała zalecenia dla rodzimych organizacji, ostrzegające przed możliwością zainfekowania systemów oprogramowaniem podobnym do tego użytego na Ukrainie. Nasz wschodni sąsiad wydaje się poważnie podchodzić do sprawy. Mychajło Fedorow – wicepremier odpowiedzialny za cyfrowe bezpieczeństwo – na bieżąco informuje za pomocą swojego Twittera o odpieraniu ataków rosyjskich włamywaczy przez ukraińskich specjalistów. Niedawno pisaliśmy także o powołaniu ochotniczej armii hakerów, która zajmie się działaniami na wielu płaszczyznach, począwszy od odpierania ataków aż po wyprowadzanie działań ofensywnych.

Wojna w sieci rozgrywa się poza obiektywem kamer i aparatów, bez wybuchów i zatrważających scen. Jest jednak równie ważna i niebezpieczna co działania w otwartym polu. W tym wyjątkowym czasie warto zachować wzmożoną ostrożność. Hakerzy mogą bowiem próbować wykorzystać panującą destabilizację także w polskiej sieci.