Rus işgali sırasında HermeticWiper'dan sonra bir başka kötü niyetli program olan IsaacWiper ortaya çıktı. Doğrudan Ukraynalı örgütleri hedef alıyorlar. Ek olarak, yerel ağda dağıtım için HermeticWizard kötü amaçlı yazılımı ve yem fidye yazılımı olarak HermeticRansom ile saldırılar gerçekleştirilir.
Rusya'nın Ukrayna'yı işgalinin ardından ESET araştırmacıları, Ukrayna kuruluşlarına yönelik hedefli siber saldırılarda kullanılan yeni silici kötü amaçlı yazılım ailelerini keşfetti. İlk siber saldırı, Rusya'nın işgalinden birkaç saat önce büyük Ukraynalı web sitelerine yönelik büyük DDoS saldırılarıyla başladı. Bu saldırılar sırasında bazı yeni kötü amaçlı yazılım türleri de kullanıldı: veri silme için HermeticWiper, yerel ağda dağıtım için HermeticWizard ve yem fidye yazılımı olarak HermeticRansom.
DDoS saldırıları ve HermeticWiper sadece başlangıç
Rus işgalinin başlamasıyla birlikte, bir Ukrayna hükümet ağına yine bir silici kullanarak ikinci bir saldırı başladı. ESET araştırmacıları buna IsaacWiper adını verdi. Kötü amaçlı yazılım kalıntıları, eylemlerin birkaç aydır planlandığını gösteriyor. Şimdiye kadar, Avrupa BT güvenlik üreticisinin uzmanları, saldırıları bilinen bir bilgisayar korsanı grubuna atayamadı. Kötü amaçlı yazılımın er ya da geç Ukrayna dışında da kullanılacağı göz ardı edilemez.
"Şu anda IsaacWiper ile HermeticWiper arasında bir bağlantı olup olmadığını araştırıyoruz. ESET Tehdit Araştırma Başkanı Jean-Ian Boutin, IsaacWiper, HermeticWiper'dan etkilenmeyen bir Ukrayna devlet kuruluşunda tespit edildi" dedi.
Saldırılar çok önceden planlanmış
ESET araştırmacıları, etkilenen kuruluşların güvenliğinin silecek kullanılmadan çok önce ele geçirildiğini varsaymaktadır. "Bu değerlendirme birkaç gerçeğe dayanmaktadır: En eskisi 28 Aralık 2021 olan HermeticWiper derleme zaman damgaları; 13 Nisan 2021 tarihli Kod İmzalama Sertifikası veriliş tarihi; ve en az bir durumda varsayılan etki alanı ilkesi aracılığıyla HermeticWiper'ın konuşlandırılması. Bu, saldırganların daha önce kurbanın Active Directory sunucularından birine erişimi olduğunu gösteriyor" diye devam etti Boutin.
IsaacWiper, 24 Şubat'ta ESET telemetrisinde göründü. Bulunan en eski derleme zaman damgası 19 Ekim 2021'dir; bu, zaman damgası değiştirilmemişse IsaacWiper'ın önceki işlemlerde aylar önce kullanılmış olabileceği anlamına gelir.
IsaacWiper ile yeni bir saldırı dalgası
Saldırganlar, IsaacWiper'ı kullandıktan sadece bir gün sonra hata ayıklama günlükleri içeren yeni bir sürüm yayınladı. Bu, saldırganların hedeflenen makinelerden bazılarını silemediğini ve ne olduğunu anlamak için günlük mesajları eklediğini gösteriyor olabilir. ESET kötü amaçlı yazılım koleksiyonundaki diğer örneklerle önemli kod benzerlikleri olmadığından, ESET araştırmacıları bu saldırıları bilinen bir tehdit aktörüne bağlayamadı.
HermeticWiper saldırıya uğrayan kuruluşlarda yayılıyor
ESET, HermeticWiper örneğinde, kötü amaçlı yazılımın hedeflenen kuruluşlar içinde yatay olarak hareket ettiğine dair kanıt gözlemledi ve saldırganların muhtemelen bir Active Directory sunucusunun kontrolünü ele geçirdiğini belirledi. ESET araştırmacılarının HermeticWizard adını verdiği özel bir solucan, güvenliği ihlal edilmiş ağlarda siliciyi çoğaltmak için kullanıldı. İkinci silici - IsaacWiper - için saldırganlar, ağ içinde hareket etmek için bir uzaktan erişim aracı olan RemCom'u ve muhtemelen Impacket'i kullandı.
Ayrıca HermeticWiper, kendi dosyasının üzerine rasgele baytlar yazarak kendisini diskten siler. Bu anti-adli önlem, muhtemelen bir olaydan sonra sileceğin analiz edilmesini önlemeyi amaçlamaktadır. Tuzak fidye yazılımı HermeticRansom, muhtemelen sileceğin eylemlerini gizlemek için HermeticWiper ile aynı anda konuşlandırıldı.
"Hermetik" terimi, Hermetica Digital Ltd.'den türetilmiştir. ab, Kod İmzalama Sertifikasının verildiği bir Kıbrıs şirketi. Bir Reuters raporuna göre, bu sertifikanın Hermetica Digital'den çalınmadığı görülüyor. Bunun yerine, saldırganların bu sertifikayı DigiCert'ten almak için kendilerini Kıbrıslı şirket olarak tanıtmaları daha olasıdır. ESET Research, veren şirket DigiCert'ten sertifikayı derhal iptal etmesini istedi.
Ukrayna'ya yönelik siber saldırı süreci
- 23 Şubat'ta HermeticWiper kötü amaçlı yazılımı (HermeticWizard ve HermeticRansom ile birlikte), birkaç Ukrayna devlet kurumu ve kuruluşuna karşı konuşlandırıldı. Bu siber saldırı, Rusya'nın Ukrayna'yı işgalinin başlamasından sadece birkaç saat önce gerçekleşti.
- HermeticWiper kendi dosyasının üzerine yazarak kendisini diskten siler. Bu prosedür, olayın analizini zorlaştırmayı amaçlamaktadır.
- HermeticWiper, güvenliği ihlal edilmiş yerel alan ağlarına HermeticWizard adını verdiğimiz özel bir solucan tarafından dağıtılır.
- 24 Şubat'ta, yine ESET'in IsaacWiper adını verdiği bir silici kullanılarak bir Ukrayna hükümet ağını hedef alan ikinci bir saldırı dalgası başladı.
- 25 Şubat'ta saldırganlar, hedeflenen bilgisayarlardan bazılarını silemediklerini belirten hata ayıklama günlükleriyle birlikte IsaacWiper'ın yeni bir sürümünü yayınladı.
- Analiz sonuçları, saldırıların birkaç aydır planlandığını gösteriyor.
- ESET güvenlik uzmanları, bu saldırıları henüz herhangi bir hacker grubuna atayamadı.
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.