Ukrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), ülkenin ulusal haber ajansını (Ukrinform) hedef alan yıkıcı bir kötü amaçlı yazılım saldırısını Sandworm Rus askeri bilgisayar korsanlarıyla ilişkilendirdi.
Ukrayna Devlet Özel İletişim ve Bilgi Koruma Servisi (SSSCIP), “CERT-UA uzmanları tarafından sağlanan ön verilere göre, saldırı teşkilatın bilgi altyapısı üzerinde belirli yıkıcı etkilere neden oldu, ancak tehdit yine de hızla yerelleştirildi.” dedim.
“Bu, Ukrinform’un operasyonunu sürdürmesini sağladı. Şu anda CERT-UA uzmanları, altyapının kurtarılmasına ve olayın araştırılmasına devam edilmesine yardımcı oluyor.”
CERT-U, siber saldırının muhtemelen daha önce Rusya Federasyonu Silahlı Kuvvetleri (GRU) Genelkurmay Başkanlığı Ana Müdürlüğü ile bağlantılı olan tehdit aktörlerinin taktiklerine dayalı olarak Sandworm grubu tarafından gerçekleştirildiğini söylüyor.
Saldırganlar, bir Windows grup ilkesi (GPO) kullanarak haber ajansının sistemlerinde CaddyWiper kötü amaçlı yazılımını başlattı ve hedefin ağını önceden ihlal ettiklerini gösterdi. Yine de, haber ajansının operasyonlarını etkilemeyi başaramadılar.
SSSCIP Başkanı Yurii Shchyhol Çarşamba günü yaptığı açıklamada, “Ruslar, tam ölçekli işgalin ilk günlerinden beri Ukraynalıların mevcut durum ve savaşın gidişatı hakkındaki bilgilerini kesmeye çalışıyor.”
“Düşman tarafından geçici olarak kontrol edilen bölgelerde Ukrayna televizyonunu, interneti ve mobil iletişimi kestiler ve füzeleriyle Ukrayna’nın birçok şehrinde TV ve radyo yayın kulelerini vurdular. Ukrayna medyasına siber saldırılar düzenlediler. “
Sandworm, Nisan 2022’de büyük bir Ukraynalı enerji sağlayıcısına karşı başarısız olan başka bir saldırıda da CaddyWiper yıkıcı kötü amaçlı yazılımını kullandı.
Saldırganlar, Industroyer ICS kötü amaçlı yazılımının bıraktığı izleri CaddyWiper ve Orcshred, Soloshred ve Awfulshred olarak izlenen Linux ve Solaris sistemleri için tasarlanmış diğer veri silicilerin yardımıyla silmeye çalıştı.
CaddyWiper, ESET güvenlik araştırmacıları tarafından ilk olarak Mart 2022’de, verileri yok eden kötü amaçlı yazılımın birden fazla Ukraynalı kuruluşun Windows etki alanlarındaki verileri silmek için kullanılmasıyla keşfedildi.
Rusya, Şubat 2022’de Ukrayna’yı işgal ettiğinden beri güvenlik araştırmacıları, CaddyWiper’ın yanı sıra DoubleZero, HermeticWiper, IsaacWiper, WhisperKill, WhisperGate ve AcidRain dahil Ukrayna hedeflerine karşı konuşlandırılmış bir dizi veri silen kötü amaçlı yazılım keşfetti.
Ukrayna’ya yönelik son fidye yazılımı saldırıları da Sandworm Rus destekli tehdit grubuyla ilişkilendirildi.
Microsoft ayrıca Kasım ayında Sandworm’un Ekim 2022’den itibaren Ukrayna ve Polonya’daki lojistik ve nakliye şirketlerine saldırarak tedarik zincirini hedef alan Prestige fidye yazılımı saldırılarının arkasında olduğunu ortaya çıkardı.