Αναλυτές ασφαλείας ανακάλυψαν πρόσφατα ένα καταστροφικό κακόβουλο λογισμικό γνωστό ως SwiftSlicer, το οποίο έχει την ικανότητα να αντικαθιστά βασικά αρχεία που χρησιμοποιούνται από το λειτουργικό σύστημα των Windows.
Δείτε επίσης: Βορειοκορεάτες hackers έκλεψαν εκατομμύρια δολάρια σε crypto
Πρόσφατα, η διαβόητη ομάδα hacking Sandworm – η οποία υπάγεται στη ρωσική GRU και αποτελεί μέρος της στρατιωτικής μονάδας 74455 της GTsST – εξαπέλυσε κυβερνοεπίθεση σε ουκρανικό στόχο όπου εξέθεσε το νέο κακόβουλο λογισμικό της. Η επίθεση αυτή αποδόθηκε στο Sandworm λόγω της ακρίβειας και της μυστικής εκτέλεσής της.
Η ESET, μια εταιρεία κυβερνοασφάλειας, αποκάλυψε πρόσφατα το κακόβουλο κακόβουλο λογισμικό SwiftSlicer που παρακολουθούσε τον κυβερνοχώρο κατά τη διάρκεια μιας επίθεσης στην Ουκρανία. Αν και υπάρχουν προς το παρόν περιορισμένες πληροφορίες σχετικά με αυτή την ιδιαίτερα καταστροφική απειλή, όλα δείχνουν ότι είναι εξαιρετικά επικίνδυνη.
Παρά το γεγονός ότι ο συγκεκριμένος στόχος των δραστηριοτήτων της Sandworm δεν είναι ακόμη γνωστός, πρόσφατες πληροφορίες αποκάλυψαν μια επίθεση στο Ukrinform, το εθνικό πρακτορείο ειδήσεων της Ουκρανίας. Στις 25 Ιανουαρίου, η ESET εντόπισε μια κακόβουλη επίθεση στην οποία ο δράστης ανέπτυξε το κακόβουλο λογισμικό CaddyWiper. Αυτό το συγκεκριμένο καταστροφικό λογισμικό είχε παρατηρηθεί στο παρελθόν κατά τη διάρκεια άλλων επιθέσεων εναντίον ουκρανικών στόχων.
Σύμφωνα με την ESET, η Sandworm χρησιμοποίησε το Active Directory Group Policy για να αναπτύξει το SwiftSlicer σε όλο το σύστημα. Αυτή η οδηγία επιτρέπει στους διαχειριστές τομέων να ανεβάσουν τον πήχη των εντολών και των σεναρίων σε όλα τα δίκτυα των Windows. Οι ερευνητές της ESET αναφέρουν ότι το SwiftSlicer χρησιμοποιήθηκε για να εξαλείψει τα σκιώδη αντίγραφα και να αντικαταστήσει κρίσιμα αρχεία στον κατάλογο συστήματος των Windows, ιδιαίτερα τους οδηγούς καθώς και τη βάση δεδομένων του Active Directory.
Δείτε ακόμα: MFHS: Hackers έκλεψαν δεδομένα από 460.000 άτομα
Είναι προφανές ότι η στοχευμένη εστίαση του wiper στο φάκελο %CSIDL_SYSTEM_DRIVE%\Windows\NTDS επιδιώκει όχι μόνο να εξαλείψει αρχεία, αλλά και να διαλύσει και να διαταράξει ολόκληρους τομείς των Windows.
Με το SwiftSlicer, τα δεδομένα αντικαθίστανται χρησιμοποιώντας μπλοκ 4096 byte από τυχαία δημιουργημένα bytes. Μετά την εκτέλεση της διαγραφής δεδομένων, οι ερευνητές της ESET αναφέρουν ότι το κακόβουλο λογισμικό θα επανεκκινήσει τους υπολογιστές.
Η έρευνα διαπίστωσε ότι το SwiftSlicer της Sandworm δημιουργήθηκε χρησιμοποιώντας τη γλώσσα προγραμματισμού Golang, η οποία συχνά επιλέγεται από κακόβουλους φορείς για την προσαρμοστικότητά της – επιτρέποντας στον κώδικα να μεταγλωττιστεί και να χρησιμοποιηθεί με οποιοδήποτε υλικό ή πλατφόρμα.
Μόλις πρόσφατα, αυτό το κακόβουλο λογισμικό συμπεριλήφθηκε στη βάση δεδομένων του Virus Total στις 26 Ιανουαρίου – ωστόσο το ποσοστό ανίχνευσής του είναι ήδη πάνω από 50% σε όλες τις μηχανές antivirus που δοκιμάστηκαν.
Μια προειδοποιητική έκθεση από την Ουκρανική Ομάδα Αντιμετώπισης Εκτάκτων Αναγκών Υπολογιστών (CERT-UA) αποκάλυψε ότι το Sandworm είχε προσπαθήσει να χρησιμοποιήσει πέντε βοηθητικά προγράμματα καταστροφής δεδομένων στο δίκτυο του πρακτορείου ειδήσεων Ukrinform.:
- CaddyWiper (Windows)
- ZeroWipe (Windows)
- SDelete (legitimate tool for Windows)
- AwfulShred (Linux)
- BidSwipe (FreeBSD)
Δείτε επίσης: NCSC: Αυξημένες επιθέσεις από Ρώσους και Ιρανούς hackers
Αφού ξεκίνησε έρευνα, η υπηρεσία ανακάλυψε ότι η SandWorm είχε διανείμει κακόβουλο λογισμικό σε υπολογιστές στο δίκτυο χρησιμοποιώντας την πολιτική ομάδας (GPO). Πρόκειται ουσιαστικά για ένα σύνολο κανονισμών που χρησιμοποιούνται από τους διαχειριστές προκειμένου να διαμορφώνουν εφαρμογές και λειτουργικά συστήματα, καθώς και να τροποποιούν τις ρυθμίσεις των χρηστών σε ένα περιβάλλον Active Directory. Είναι ενδιαφέρον ότι αυτή ήταν επίσης η ίδια μέθοδος που χρησιμοποιήθηκε για την εκτέλεση του SwiftSlicer.
Η Sandworm είναι μια ομάδα εγκλήματος στον κυβερνοχώρο με έδρα τη Ρωσία, η οποία δραστηριοποιείται εδώ και αρκετά χρόνια. Εντοπίστηκε για πρώτη φορά από ερευνητές ασφαλείας που παρατήρησαν ένα μοτίβο επιθέσεων εναντίον κυβερνητικών οντοτήτων της Ουκρανίας. Έκτοτε, η ομάδα έχει γίνει διαβόητη για τη χρήση εξελιγμένων τακτικών για τη στόχευση τόσο κυβερνητικών δικτύων όσο και ιδιωτικών εταιρειών σε όλο τον κόσμο.
