CERT-UA, Rus Sandworm grubunun Ukrayna’nın ulusal haber ajansı Ukrinform’a karşı veri silecekleri kullandığını söyledi.
Ukrayna’daki savaş şiddetlenirken, yeni yıkıcı kötü amaçlı yazılımlar keşfedilmeye devam ediyor.
yakın zamanda cıvıldamakUkrayna Bilgisayar Acil Müdahale Ekibi (CERT-UA), Ukrayna’nın ulusal haber ajansı Ukrinform’a karşı kullanılan beş silecek adını verdi. Sandworm grubuyla bir bağlantı olduğundan şüpheleniyor.
GÜNCELLEME: UAC-0082 (şüpheli #Kum kurdu) 5 çeşit yıkıcı yazılım kullanarak Ukrinform’u hedeflemek için: CaddyWiper, ZeroWipe, SDelete, AwfulShred, BidSwipe.
Ayrıntılar: https://t.co/vFIiRvXm0u (yalnızca UA)
— CERT-UA (@_CERT_UA) 27 Ocak 2023
Silecekler
Silecek, etkilenen bilgisayarın sabit diskinin içeriğini kullanıcının izni olmadan silen bir tür kötü amaçlı yazılımdır.
Bir veri siliciyi kodlamak önemsiz görünse de, basitçe dosyaları silmek, genellikle geri alınması kolay olan çok baştan savma bir yöntemdir. Bilgisayarlar “unutma” konusunda çok kötüdür ve bir dosyayı silmek genellikle dosyanın kendisini değil, yalnızca dosyanın işaretçisini kaldırır.
Bir veri sileceğinin verimli bir şekilde çalışmasını sağlamak için aşılması gereken çok çeşitli engeller vardır. Bunların arasında: Saldırganın hedef sisteme siliciyi çalıştırması gerekir; uygun yetkilendirme olmadan verileri kaldırma girişimini durduracak herhangi bir güvenliği atlamaları gerekir; ana önyükleme kaydı (MBR) gibi disk sektörlerindeki korumaları aşmak zorunda kalabilirler; ve yedeklemelerden geri yüklemeyi olabildiğince zorlaştırmak isteyeceklerdir.
Etkili bir şekilde bu, yükü hedef sisteme almak için bir damlalık alır; saldırganın kötü niyetli sürecini istediği zaman başlatabilmesi için kalıcılık kazanma yöntemi; tespitten kaçınmak için bir yöntem; Yükseltilmiş ayrıcalıklar; ve işletim sisteminin kısıtlamalarını geçersiz kılmak için bir yöntem.
Bu tür şeylerle ilgilenenler için geçen yıl, Rusya’nın işgalinin ilk aşamalarında Ukrayna’ya karşı kullanılan bir silici olan HermeticWiper’ın ayrıntılı bir analizini yayınlamıştık. Makale çok teknik ama size etkili bir veri silecek oluşturmak için gerekenler hakkında bir fikir veriyor. Ve IsaacWiper ve CaddyWiper’ı tartışan başka bir bloga yer verdik.
kum kurdu
Rus devlet destekli bir siber suçlular grubu olan Sandworm grubunun Ukraynalı şirketleri ve devlet kurumlarını hedef aldığı biliniyor. Tüm Ukrayna ağlarını yok etmekten, BlackEnergy kötü amaçlı yazılımıyla elektrik tesislerini hedef alarak elektrik kesintilerini tetiklemekten ve kötü şöhretli NotPetya kötü amaçlı yazılımını 2017’de serbest bırakmaktan sorumlu olduğu düşünülüyor. Ukrayna’da odaklanan enfeksiyon bölgeleri ile, ancak oradan da Avrupa’ya ve ötesine yayıldı.
Atıf
CERT-UA, Ukrinform’un talebi üzerine 17 Ocak 2023’te gerçekleşen bir siber saldırı hakkında soruşturma başlattı. İlk erişimin 7 Aralık 2022’de sağlandığını tespit etti, bu nedenle tehdit aktörü siber saldırıyı başlatmak için bir aydan fazla bekledi. saldırının son aşaması.
CERT-UA, soruşturmanın sonuçlarına dayanarak, saldırının Sandworm grubunun adı olan UAC-0082 grubu tarafından gerçekleştirildiğinden emin olduğunu söylüyor.
Analiz
Ekip, Ukrinform’un bilgi ve iletişim sisteminde 5 aktif silici buldu:
- CaddySilecek (Windows)
- ZeroWipe (Windows)
- SDelete (meşru Windows yardımcı programı)
- AwfulShred (Linux)
- BidSwipe (FreeBSD)
Bu siliciler için IOC’ler CERT-UA tarafından yazılan makalenin alt kısmında bulunabilir.