Під час російського вторгнення після HermeticWiper з’явилася ще одна шкідлива програма — IsaacWiper. Вони спрямовані безпосередньо на українські організації. Крім того, атаки здійснюються за допомогою шкідливого програмного забезпечення HermeticWizard для розповсюдження в локальній мережі та HermeticRansom як програми-вимагача-приманки.
Після російського вторгнення в Україну дослідники ESET виявили нові сімейства шкідливих програм Wiper, які використовувалися для цілеспрямованих кібератак на українські організації. Перша кібератака почалася за кілька годин до російського вторгнення з масованих DDoS-атак на великі українські сайти. Під час цих атак також використовувалися деякі з нових типів шкідливих програм: HermeticWiper для видалення даних, HermeticWizard для розповсюдження в локальній мережі та HermeticRansom як програма-вимагач-приманка.
DDoS-атаки та HermeticWiper – це лише початок
З початком російського вторгнення почалася друга атака на українську урядову мережу, також з використанням склоочисника. Дослідники ESET назвали це IsaacWiper. Артефакти шкідливого ПЗ свідчать про те, що дії планувалися кілька місяців. Поки що експерти європейського виробника IT-безпеки не змогли приписати атаки відомій хакерській групі. Не можна виключити, що рано чи пізно шкідливе програмне забезпечення буде використовуватись і за межами України.
«Зараз ми досліджуємо, чи існує зв’язок між IsaacWiper і HermeticWiper. IsaacWiper було виявлено в українській урядовій організації, на яку HermeticWiper не вплинув», — говорить Жан-Іан Бутін, керівник відділу дослідження загроз ESET.
Атаки планувалися заздалегідь
Дослідники ESET припускають, що постраждалі організації були скомпрометовані задовго до використання склоочисника. «Ця оцінка ґрунтується на кількох фактах: мітках часу компіляції HermeticWiper, найдавніша з яких — 28 грудня 2021 року; дата видачі Сертифікату підписання коду 13 квітня 2021 року; і розгортання HermeticWiper через політику домену за замовчуванням принаймні в одному випадку. Це вказує на те, що зловмисники раніше мали доступ до одного із серверів Active Directory жертви», – продовжив Бутін.
IsaacWiper з’явився в телеметрії ESET 24 лютого. Найстарішою знайденою міткою часу компіляції було 19 жовтня 2021 року, що означає, що якщо мітка часу не була підроблена, IsaacWiper міг використовуватися місяцями раніше в попередніх операціях.
Ще одна хвиля атак з IsaacWiper
Лише через день після використання IsaacWiper зловмисники випустили нову версію з журналами налагодження. Це могло означати, що зловмисники не змогли видалити деякі з цільових машин і додали повідомлення журналу, щоб зрозуміти, що сталося. Дослідникам ESET не вдалося пов’язати ці атаки з відомим загрозою, оскільки немає значної схожості коду з іншими прикладами в колекції шкідливих програм ESET.
HermeticWiper поширюється в атакованих організаціях
У випадку HermeticWiper ESET спостерігала ознаки бокового переміщення зловмисного програмного забезпечення в цільових організаціях і визначила, що зловмисники, ймовірно, взяли під контроль сервер Active Directory. Спеціальний хробак, який дослідники ESET назвали HermeticWizard, використовувався для розповсюдження склоочисника в скомпрометованих мережах. Для другого очищувача - IsaacWiper - зловмисники використовували RemCom, інструмент віддаленого доступу, і, можливо, Impacket для пересування всередині мережі.
Крім того, HermeticWiper стирає себе з диска, перезаписуючи власний файл випадковими байтами. Цей антикриміналістичний захід, ймовірно, призначений для запобігання аналізу склоочисника після інциденту. Програма-вимагач-приманка HermeticRansom була розгорнута одночасно з HermeticWiper, ймовірно, щоб приховати дії очисника.
Термін «Hermetic» походить від Hermetica Digital Ltd. ab, кіпрська компанія, якій було видано сертифікат підпису коду. Згідно зі звітом Reuters, цей сертифікат, здається, не був викрадений у Hermetica Digital. Скоріше, зловмисники видали себе за кіпрську компанію, щоб отримати цей сертифікат від DigiCert. ESET Research попросила компанію-видавця DigiCert негайно відкликати сертифікат.
Процес кібератак на Україну
- 23 лютого шкідливе програмне забезпечення HermeticWiper (разом з HermeticWizard і HermeticRansom) було застосовано проти кількох українських державних установ і організацій. Ця кібератака сталася за кілька годин до початку російського вторгнення в Україну.
- HermeticWiper стирає себе з диска, перезаписуючи власний файл. Ця процедура покликана ускладнити аналіз інциденту.
- HermeticWiper розповсюджується в скомпрометованих локальних мережах спеціальним хробаком, якого ми назвали HermeticWizard.
- 24 лютого почалася друга хвиля атак на урядову мережу України, також з використанням склоочисника, який ESET називає IsaacWiper.
- 25 лютого зловмисники випустили нову версію IsaacWiper із журналами налагодження, які вказують на те, що вони не змогли стерти деякі цільові комп’ютери.
- Результати аналізу свідчать, що атаки планувалися кілька місяців.
- Експерти з безпеки ESET ще не змогли призначити ці атаки жодній хакерській групі.
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.