Güvenlik araştırmacıları, Windows işletim sistemi tarafından kullanılan önemli dosyaların üzerine yazmayı amaçlayan, SwiftSlicer adını verdikleri yeni bir veri silen kötü amaçlı yazılım belirlediler.
Yeni kötü amaçlı yazılım, Ukrayna’daki bir hedefe yönelik yakın tarihli bir siber saldırıda keşfedildi ve Ana Özel Teknolojiler Merkezi (GTsST) askeri birimi 74455’in bir parçası olarak Rusya Genelkurmay Ana İstihbarat Müdürlüğü (GRU) için çalışan bir bilgisayar korsanlığı grubu olan Sandworm’a atfedildi. .
Go tabanlı veri silecek
Şu anda SwiftSlicer ile ilgili ayrıntılar yetersiz olsa da, siber güvenlik şirketi ESET’teki güvenlik araştırmacıları, Ukrayna’daki bir siber saldırı sırasında dağıtılan yıkıcı kötü amaçlı yazılımı bulduklarını söylüyorlar.
Hedefin adı yayınlanmadı, son Sandworm faaliyeti Ukrayna’nın ulusal haber ajansı Ukrinform’a yönelik bir veri silme saldırısını içeriyor.
Ancak ESET’in 25 Ocak’ta keşfettiği saldırıda tehdit aktörü, daha önce Ukrayna hedeflerine yönelik diğer saldırılarda gözlemlenen CaddyWiper adlı farklı bir yıkıcı kötü amaçlı yazılım başlattı. [1, 2].
ESET, Sandworm’un SwiftSlicer’ı, etki alanı yöneticilerinin Windows ağındaki tüm cihazlarda komut dosyaları ve komutlar yürütmesine izin veren Active Directory Grup İlkesi’ni kullanarak başlattığını söylüyor.
ESET araştırmacıları, SwiftSlicer’ın gölge kopyaları silmek ve Windows sistem dizinindeki, özellikle sürücüler ve Active Directory veritabanındaki kritik dosyaların üzerine yazmak için konuşlandırıldığını söylüyor.
%CSIDL_SYSTEM_DRIVE%\Windows\NTDS klasörünün belirli hedeflemesi, silicinin yalnızca dosyaları yok etmek için değil, aynı zamanda tüm Windows etki alanlarını da çökertmek için tasarlandığını gösterir.
SwiftSlicer, rastgele oluşturulmuş baytlarla doldurulmuş 4096 baytlık blokları kullanarak verilerin üzerine yazar. ESET araştırmacıları, veri imha işini tamamladıktan sonra kötü amaçlı yazılımın sistemleri yeniden başlattığını söylüyor.
Araştırmacılara göre Sandworm, çok yönlülüğü nedeniyle birçok tehdit aktörü tarafından benimsenen SwiftSlicer’ı Golang programlama dilinde geliştirdi ve tüm platformlar ve donanımlar için derlenebiliyor.
Kötü amaçlı yazılım Virus Total veritabanına daha yeni eklenmiş olmasına rağmen (26 Ocak’ta gönderildi), şu anda tarama platformunda bulunan antivirüs motorlarının yarısından fazlası tarafından tespit ediliyor.
Rusya’nın yıkıcı kötü amaçlı yazılımı
Bugün yayınlanan bir raporda, Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Sandworm’un ayrıca Ukrinform haber ajansının ağında beş veri imha aracını kullanmaya çalıştığını söylüyor:
- CaddySilecek (Windows)
- ZeroWipe (Windows)
- SDelete (Windows için yasal araç)
- AwfulShred (Linux)
- BidSwipe (FreeBSD)
Ajansın araştırması, SandWorm’un kötü amaçlı yazılımı ağdaki bilgisayarlara bir Grup İlkesi Nesnesi (GPO) kullanarak dağıttığını ortaya çıkardı. SwiftSlicer’ı çalıştırmak için.