Ukrayna, 2022’de Her Yerden Daha Fazla Wiper Kötü Amaçlı Yazılımına Maruz Kaldı


Bu büyük hacimli silici kötü amaçlı yazılıma rağmen, Rusya’nın 2022’de Ukrayna’ya yönelik siber saldırıları, oradaki çatışmanın önceki yıllarına kıyasla bazı açılardan nispeten etkisiz göründü. Rusya, ülkenin 2014 devriminden bu yana Ukrayna’ya karşı tekrar tekrar yıkıcı siber savaş kampanyaları başlattı ve bunların hepsi görünüşe göre Ukrayna’nın savaşma kararlılığını zayıflatmak, kaos ekmek ve Ukrayna’yı uluslararası topluma başarısız bir devlet olarak göstermek için tasarlanmıştı. Örneğin, 2014’ten 2017’ye kadar, Rusya’nın GRU askeri istihbarat teşkilatı bir dizi benzeri görülmemiş siber saldırı gerçekleştirdi: Ukrayna’nın 2014 cumhurbaşkanlığı seçimlerini kesintiye uğrattı ve ardından yanıltmaya çalıştı, bilgisayar korsanları tarafından tetiklenen ilk elektrik kesintilerine neden oldu ve sonunda NotPetya’yı serbest bıraktı. Ukrayna’yı vuran, devlet kurumları, bankalar, hastaneler ve havaalanlarındaki yüzlerce ağı yok eden, kendi kendini kopyalayan bir silici kötü amaçlı yazılım parçası, dünya çapında yayılarak hala benzersiz bir 10 milyar dolarlık hasara neden oldu.

Ancak 2022’nin başından bu yana Rusya’nın Ukrayna’ya yönelik siber saldırıları farklı bir vitese geçti. Rusya’nın daha önceki saldırı kampanyalarında olduğu gibi, yaratılması ve konuşlandırılması aylar süren kötü niyetli kod şaheserleri yerine, Kremlin’in siber saldırıları hızlanarak hızlı, kirli, amansız, tekrarlanan ve nispeten basit sabotaj eylemlerine dönüştü.

Aslında Rusya, silici kodunda bir dereceye kadar niteliği nicelikle değiştirmiş gibi görünüyor. 2022’de Ukrayna’da piyasaya sürülen bir düzineden fazla silicinin çoğu, NotPetya, BadRabbit veya Olympic Destroyer gibi eski GRU silecek araçlarında görülen karmaşık kendi kendine yayılma mekanizmalarının hiçbiri olmadan, veri yok etme konusunda nispeten kaba ve basitti. Bazı durumlarda, aceleye getirilmiş kodlama işlerinin belirtilerini bile gösterirler. Şubat 2022 işgalinden hemen önce Ukrayna’yı vuran ilk silme araçlarından biri olan HermeticWiper, meşru görünmek ve tespit edilmekten kaçınmak için çalıntı bir dijital sertifika kullandı; bu, gelişmiş işgal öncesi planlamanın bir işareti. Ancak ESET’e göre, aynı kötü amaçlı yazılım ailesinin kurbanlarına fidye yazılımı olarak görünmek üzere tasarlanmış bir çeşidi olan HermeticRansom, özensiz programlama hataları içeriyordu. HermeticWiper’ı sistemden sisteme yaymak için tasarlanmış eşlik eden bir araç olan HermeticWizard da tuhaf bir şekilde yarı pişmişti. Sabit kodlanmış kimlik bilgileriyle oturum açmaya çalışarak yeni makinelere bulaşmak için tasarlandı, ancak yalnızca sekiz kullanıcı adı ve yalnızca üç parola denedi: 123, Qaz123 ve Qwerty123.

Rusya’nın 2022’de Ukrayna’ya yönelik tüm silici kötü amaçlı yazılım saldırıları arasında belki de en etkili olanı, Viasat uydu modemlerini hedef alan bir veri yok edici kod parçası olan AcidRain idi. Bu saldırı, Ukrayna’nın askeri iletişiminin bir kısmını devre dışı bıraktı ve hatta ülke dışındaki uydu modemlerine de sıçrayarak Almanya’daki binlerce rüzgar türbininden gelen verilerin izlenmesini engelledi. Bu modemlerde kullanılan Linux biçimini hedeflemek için gereken özelleştirilmiş kodlama, HermeticWiper’da kullanılan çalınan sertifika gibi, AcidRain’i başlatan GRU bilgisayar korsanlarının bunu Rusya’nın işgalinden önce dikkatlice hazırladığını gösteriyor.

Ancak savaş ilerledikçe – ve Rusya, içine saplandığı uzun vadeli çatışmaya giderek daha fazla hazırlıksız göründüğü için – bilgisayar korsanları, belki de fiziksel bir savaşın hızına sürekli değişen yeni teknolojilerle ayak uydurabilmek için daha kısa vadeli saldırılara yöneldi. ön saflar. Mayıs ve Haziran ayına gelindiğinde GRU, en basit silecek örneklerinden biri olan veri imha aracı CaddyWiper’ın tekrar tekrar kullanılmasını giderek daha fazla tercih etmeye başladı. Mandiant’a göre GRU, CaddyWiper’ı bu iki ayda beş kez ve Ekim ayında dört kez daha konuşlandırdı ve kodunu yalnızca virüsten koruma araçları tarafından algılanmayı önleyecek kadar değiştirdi.

Bununla birlikte, o zaman bile, yeni silecek çeşitlerinin patlaması yalnızca devam etti: Örneğin ESET, Prestige, NikoWiper, Somnia, RansomBoggs, BidSwipe, ZeroWipe ve SwiftSlicer’ı, genellikle fidye yazılımı gibi görünen yeni yıkıcı kötü amaçlı yazılım biçimleri olarak listeliyor. sadece Ekim ayından beri Ukrayna’da ortaya çıktı.

Ancak ESET, bu silecek selini bir tür akıllı evrim olarak değil, bir tür kaba kuvvet yaklaşımı olarak görüyor. Rusya, savunucularının önünde kalmak ve ezici bir fiziksel çatışmanın ortasında elinden gelen her türlü ek kaosu yaratmak için Ukrayna’ya olası her türlü yıkıcı aracı fırlatıyor gibi görünüyor.

ESET’in baş tehdit istihbaratı araştırmacısı Robert Lipovsky, “Teknik gelişmişliklerinin arttığını veya azaldığını söyleyemezsiniz, ancak tüm bu farklı yaklaşımları denediklerini söyleyebilirim” diyor. “Hepsi işin içindeler ve ortalığı kasıp kavurmaya ve aksamaya neden olmaya çalışıyorlar.”



Source link