Деструктивное вредоносное ПО HermeticWiper атакует Украину


istock-936338884-2.jpg
Изображение: Solarseven, Getty Photographs/iStockphoto

Украина страдает от широкого спектра кибератак. Один из самых интересных — неизвестное ранее вредоносное ПО с деструктивной полезной нагрузкой, появившееся за последнее время на сотнях украинских машин.

23 февраля твит от ESET Research утверждает, что они обнаружили новое вредоносное ПО который стирает данные, используемые в Украине. Хронология следует за DDoS-атаками, направленными на несколько важных украинских веб-сайтов (Рисунок А). Исследование было быстро подтверждено Symantec, подразделением Broadcom Device.

Рисунок А

Изображение: Твиттер. ESET Analysis сообщает об обнаружении новой вредоносной программы Wiper, нацеленной на Украину.

Сложная хронология киберсобытий, нацеленных на Украину

До DDoS-операций и обнаружения этого нового вайпера в середине января на Украину обрушилась еще одна атака, получившая название WhisperGate, которую Microsoft разоблачила 15 января.

Microsoft сообщила, что WhisperGate был сброшен на системы-жертвы (несколько государственных, некоммерческих и информационных организаций) в Украине 13 января. Вредоносная программа была разработана так, чтобы выглядеть как программа-вымогатель, но на самом деле в ней не было кода восстановления с целью получения выкупа. бинарный файл. Он был разработан, чтобы быть разрушительным и делать свои цели непригодными для использования.

ПОСМОТРЕТЬ: взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (TechRepublic)

Параллельно с этой первой операцией по удалению данных в ночь с 13 на 14 января произошла серия атак на веб-сайты, как сообщает CERT-UA, официальная правительственная группа по реагированию на компьютерные инциденты в Украине.

Несколько украинских веб-сайтов были дефейсированы, чтобы показать сообщение, написанное на украинском, русском и польском языках (Рисунок Б). WhisperGate также был удален и использовался на этих веб-сайтах. По данным Государственной службы специальной связи и защиты информации Украины, 13-14 января 2022 г. атакам подверглись около 70 украинских сайтов (отечественных и зарубежных).

Рисунок Б

Изображение: Талос. Изображение на взломанных украинских сайтах.

Сообщение примерно переведено на английский язык:

“Украинец! Все ваши личные данные были отправлены в общедоступную сеть. Все данные на вашем компьютере уничтожены и не могут быть восстановлены. Всю информацию о тебе зарежь паблик, сказка и жди худшего. Это для вас для вашего прошлого, будущего и будущего. За Волынь, ОУН УПА, Галицию, Польшу и исторические области».

Сообщение, показанное на дефейсированных веб-сайтах, было изображением. Изображения, в отличие от текста, имеют метаданные, иногда включая физические координаты. В данном случае изображение имело определенную широту и долготу: автостоянка Варшавской школы экономики в Польше. Выбор использования изображения, а не текста, вероятно, был сделан для отправки ложного флага, такого как эта позиция GPS.

Заместитель секретаря Совета национальной безопасности и обороны Украины Сергей Демедюк обвинил в нападении группу UNC1151. Он добавил, что UNC1151 — это кибершпионская группа, аффилированная со спецслужбами Республики Беларусь.

15 февраля помимо других целей начались новые DDoS-атаки на Министерство обороны Украины.

Следующим событием в этой масштабной череде событий стало появление вредоносной программы HermeticWiper.

HermeticWiper: очень эффективное разрушительное вредоносное ПО.

23 февраля появились отчеты о HermeticWiper, так как ESET запустила Twitter нить об этом.

Вскоре последовал технический анализ. HermeticWiper — это вредоносное ПО, цель которого — сделать устройства Home windows непригодными для использования, стирая их части (Рисунок С).

Рисунок С

Изображение: Томас Роччиа. Обзор HermeticWiper.

Одной из особенно интересных характеристик этого вайпера является то, что это очень хорошо написанная вредоносная программа с очень небольшим количеством стандартных функций, в отличие от большинства других распространенных вредоносных программ.

Метод, который он использует для очистки данных, использовался в прошлом несколькими злоумышленниками с печально известными очистителями Shamoon и Destover: он злоупотребляет законным драйвером диспетчера разделов Home windows для выполнения операций записи. В случае с HermeticWiper злоупотреблением был вызван менеджер разделов EaseUS (empntdrv.sys).

Вредоносная программа содержит несколько разных версий драйвера и использует подходящую в зависимости от версии операционной системы и архитектуры, на которой она работает. Эти разные версии драйверов сжаты как ресурсы, сжатые с помощью ms, в двоичном файле вредоносного ПО. Поскольку размер вредоносного ПО составляет всего 114 КБ, данные драйвера занимают более 70% его.

Одно из первых действий, выполняемых HermeticWiper, состоит в отключении теневой копии тома, системы, которая может помочь администраторам восстановить поврежденную систему.

Затем HermeticWiper повреждает основную загрузочную запись (MBR) устройства и стирает файлы в различных стратегических папках операционной системы Home windows:

  • C:Документы и настройки
  • C:Информация о системном томе
  • C:WindowsSYSVOL
  • C:WindowsSystem32winevtЖурналы

Последнее разрушающее действие состоит в определении того, является ли файловая система раздела жесткого диска FAT или NTFS, и соответствующим образом повреждает раздел. После этого система принудительно выключается и больше никогда не сможет загрузиться.

Делая это, вредоносное ПО гарантирует, что система полностью непригодна для использования.

Пока HermeticWiper распространен и используется только в Украине. Кстати, название этого вредоносного ПО связано с тем, что оно использует подписанный сертификат компании Hermetica Virtual Ltd и действителен по состоянию на апрель 2021 года. или поручил несуществующей компании выпустить этот цифровой сертификат».

Как защититься от HermeticWiper?

Использование HermeticWiper за пределами Украины не предполагается. Индикаторы компрометации (IOC) используются вместе с правилами YARA, чтобы помочь обнаружить вредоносное ПО в системах.

В отличие от других вредоносных программ, действия которых обычно контролируются злоумышленником через сетевые коммуникации, HermeticWiper в них не нуждается. Таким образом, нет никакого сетевого шаблона для анализа для обнаружения вредоносного ПО, за исключением случаев, когда оно загружается из сети, и в этом случае может быть полезно развернуть глубокую проверку пакетов (DPI) для обнаружения двоичного файла. Конечные точки должны быть просканированы на наличие этих IOC.

Раскрытие: Я работаю в Development Micro, но мнения, выраженные в этой статье, принадлежат мне.


https://cyberxhack.org/