Rusya’nın yabancı askeri istihbarat teşkilatı GRU’ya bağlı bir gelişmiş kalıcı tehdit (APT) grubu olan Sandworm, Ukrayna’nın ulusal haber ajansı Ukrinform’a ait sistemlere beş farklı siliciden oluşan bir grup yerleştirdi.
Saldırı, Sandworm’un ülkedeki son iki silici saldırısından biriydi. Çabalar, Rus siber tehdit aktörleri arasında popüler bir silah olarak yıkıcı silecek kötü amaçlı yazılımlarının kullanımının arttığının en son göstergeleridir. Amaç, Rusya’nın ülkedeki daha geniş askeri hedeflerinin bir parçası olarak, Ukrayna’da hedef alınan örgütlerin operasyonlarına geri dönülmez zarar vermektir.
Silecekler Karışık
Ukrayna Bilgisayar Acil Durum Müdahale Ekibine (CERT-UA) göre, Ukrinform saldırısı yalnızca kısmen başarılı oldu ve haber ajansındaki operasyonları etkilemedi. Ancak silecekler amaçlandığı gibi çalışsaydı, virüslü tüm sistemlerdeki verileri silecek ve üzerine yazacak ve esasen onları işe yaramaz hale getireceklerdi.
CERT-UA, geçen Cuma günü, Ukrinform’un 17 Ocak’ta olayı araştırmasını istemesinin ardından saldırıyı kamuoyuna bildirdi. CERT-CA, bir danışma belgesinde Sandworm’un haber ajansının sistemlerine yüklediği CaddyWiper, ZeroWipe, SDelete, AwfulShred ve BidSwipe. Bunlardan ilk üçü Windows sistemlerini hedef alırken, AwfulShred ve BidSwipe Ukrinform’da Linux ve FreeBSD sistemlerini hedef aldı. İlginç bir şekilde SDelete, Windows dosyalarını güvenli bir şekilde silmek için meşru bir komut satırı yardımcı programıdır.
CERT-UAs danışma belgesinin tercüme edilmiş bir versiyonunda, “Saldırganların, kötü amaçlı CaddyWiper ve ZeroWipe programlarının yanı sıra meşru SDelete yardımcı programını kullanarak kullanıcıların bilgisayarlarının normal işleyişini bozmak için başarısız bir girişimde bulunduğu tespit edildi.” “Ancak, özellikle birkaç veri depolama sisteminde yalnızca kısmen başarılı oldu.”
“SwiftSlicer” Wiper Ortaya Çıktı
Ayrı bir gelişmede ESET, geçen hafta Sandworm grubunun kimliği belirsiz bir Ukraynalı kuruluşa karşı oldukça hedefli bir saldırıda SwiftSlicer adlı yepyeni bir silecek kullandığı başka bir saldırıyı açıkladı. ESET, saldırıda Sandworm grubunun kötü amaçlı yazılımı bir grup ilkesi nesnesi aracılığıyla dağıttığını ve bu da tehdit aktörünün kurbanın Active Directory ortamının kontrolünü zaten ele geçirdiğini öne sürdüğünü söyledi. CERT-UA, Sandworm’un CaddyWiper’ı Ukrinform’un sistemlerine yerleştirmek için aynı taktiği kullandığını açıklamıştı.
ESET, SwiftSlicer çalıştırıldıktan sonra gölge kopyaları siler, sistemdeki ve sistem dışı sürücülerdeki dosyaların üzerine yinelemeli olarak yazar ve ardından bilgisayarı yeniden başlatır. Güvenlik satıcısı, “Üzerine yazmak için rastgele oluşturulmuş bayt(lar)la dolu 4096 bayt uzunluğunda blok kullanıyor” dedi.
Sandworm’un Ukrayna kuruluşlarına karşı yürüttüğü kampanyalarda disk silecek kötü amaçlı yazılımlarını kullanması, tehdit aktörlerinin bu araçları sahip olarak algıladıkları yıkıcı gücün bir göstergesidir. Sandworm, BlackEnergy, GreyEnergy ve daha yakın zamanda Industroyer gibi kötü amaçlı yazılımlarla Ukrayna’nın güç altyapısına yaptığı yüksek profilli saldırılarla kötü bir üne kavuşan, tanınmış, devlet destekli bir tehdit aktörüdür.
Sandworm’un yeni kampanyalarında yaygın olarak disk silecekleri kullanması, hem Rusya’nın Ukrayna’yı işgalinden önceki haftalarda hem de o zamandan beri geçen aylarda tehdit aktörlerinin bu tür kötü amaçlı yazılımları kullanma oranındaki daha geniş artışla tutarlıdır.
Geçen Kasım ayında Black Hat Middle East & Africa’da düzenlenen bir oturumda, Trellix’ten bir kötü amaçlı yazılım analisti olan Max Kersten, 2022’nin ilk yarısında vahşi ortamda disk silecekleri üzerinde yürüttüğü bir analizin ayrıntılarını açıkladı. Tehdit aktörlerinin dönem boyunca konuşlandırdığı silici aileleri, çoğu Ukrayna’daki hedeflere karşı. Daha üretken olanların bazı örnekleri, WhisperGate ve HermeticWiper gibi fidye yazılımı gibi görünen silicileri ve IsaacWiper, RURansomw ve CaddyWiper gibi diğerlerini içerir.
Araştırmacının çalışması, işlevsellik açısından, disk sileceklerin on yıldan uzun bir süre önce Suudi Aramco’da binlerce sistemi yok eden “Shamoon” virüsünden bu yana çok az geliştiğini gösterdi. Bunun başlıca nedeni, saldırganların sistemleri sabote etmek ve yok etmek için genellikle siliciler kullanması ve bu nedenle diğer kötü amaçlı yazılım türlerinin başarılı olması için gereken gizlilik ve kaçamaklık oluşturmaya çok az ihtiyaç duymalarıdır.
Tehdit aktörleri, disk silme kötü amaçlı yazılımlarını şimdiye kadar ABD’deki kuruluşlara karşı nispeten tutumlu bir şekilde kullandılar çünkü motivasyonları genellikle Ukrayna’daki hedeflerin peşinden gidenlerden farklıydı. ABD’deki kuruluşları hedef alan saldırıların çoğu genellikle finansal olarak motive edilir veya bir casusluk veya siber casusluk eğilimi içerir. Ancak analistlere göre bu, tehdit aktörlerinin ABD’de aynı türden yıkıcı saldırıları eğer isterlerse başlatamayacakları anlamına gelmiyor.