Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), 17 Ocak’ta ülkenin ulusal haber ajansının (Ukrinform) ağında konuşlandırılmış beş farklı veri silen kötü amaçlı yazılım türünden oluşan bir kokteyl buldu.
“27 Ocak 2023 itibariyle, işlevselliği bilgilerin bütünlüğünü ve kullanılabilirliğini ihlal etmeyi amaçlayan (sıfır bayt/keyfi verilerle dosya/disk yazma ve ardından silme) amaçlanan 5 kötü amaçlı program (komut dosyası) örneği tespit edildi. ” CERT-UA dedi (Ukraynaca’dan otomatik çeviri).
Ukrinform’a yönelik saldırıda dağıtılan yıkıcı kötü amaçlı yazılımların listesi arasında CaddyWiper (Windows), ZeroWipe (Windows), SDelete (Windows), AwfulShred (Linux) ve BidSwipe (FreeBSD) yer alır.
Beş türden ikisi, ZeroWipe ve BidSwipe, ya yeni kötü amaçlı yazılımdır ya da Ukraynalılar tarafından kötü amaçlı yazılımdan koruma satıcıları tarafından kullanılanlardan farklı adlar altında izlenir.
Saldırganlar, hedefin ağını önceden ihlal ettiklerini gösteren bir Windows grup ilkesi (GPO) kullanarak CaddyWiper kötü amaçlı yazılımını başlattı.
CERT-UA’nın soruşturma sırasında tespit ettiği üzere, tehdit grupları 7 Aralık civarında Ukrinform’un ağına uzaktan erişim sağladı ve kötü amaçlı yazılım kokteylini serbest bırakmak için bir aydan fazla bekledi.
Ancak, haber ajansının sistemlerindeki tüm verileri silme girişimleri başarısız oldu. Silecekler, yalnızca Ukrinform’un operasyonlarını etkilemeyen “birkaç veri depolama sistemindeki” dosyaları yok etmeyi başardı.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi (SSSCIP), “CERT-UA, siber saldırının, özellikle sınırlı sayıda veri depolama sistemiyle ilgili olarak yalnızca kısmi bir başarı olduğunu vurguluyor.”
Rus Sandworm askeri bilgisayar korsanlarıyla bağlantılı siber saldırı
CERT-UA, saldırıyı geçen hafta Ana İstihbarat Müdürlüğü’nün (GRU) Rus Askeri Birimi 74455’in bir parçası olan bir bilgisayar korsanlığı grubu olan Sandworm tehdit grubuna bağladı.
Sandworm, Nisan ayında büyük bir Ukraynalı enerji sağlayıcısını hedef alan başka bir başarısız saldırıda da CaddyWiper veri sileceğini kullandı.
Bu saldırıda Rus bilgisayar korsanları, Linux ve Solaris sistemleri için tasarlanmış ve Orcshred, Soloshred ve Awfulshred olarak izlenen diğer üç siliciyle birlikte Industroyer ICS kötü amaçlı yazılımının bıraktığı izleri silmek için CaddyWiper’ı konuşlandırarak benzer bir taktik kullandı.
Rusya, Şubat 2022’de Ukrayna’yı işgal ettiğinden beri, CaddyWiper’ın yanı sıra Ukrayna hedeflerinin ağlarında çok sayıda veri silen kötü amaçlı yazılım türü konuşlandırıldı.
Bu liste ayrıca DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate ve AcidRain gibilerini de içerir.
Microsoft ve Slovak yazılım şirketi ESET, Ukrayna’yı hedef alan son fidye yazılımı saldırılarını da Sandworm bilgisayar korsanlığı grubuyla ilişkilendirdi.