Sandworm, povezan sa Rusijom, koristio je još jednu vrstu malicioznog softvera za brisanje pod nazivom NikoWiper kao dio napada koji se dogodio u oktobru 2022. godine, i koji je usmjeren na kompaniju energetskog sektora u Ukrajini.
„NikoWiper je zasnovan na SDelete-u, command line uslužni program iz Microsofta koji se koristi za bezbjedno brisanje datoteka“, otkrila je kompanija za kibernetičku bezbjednost ESET u svom najnovijem Izveštaju o aktivnostima APT-a koji je podjeljen sa The Hacker News.
Slovačka firma za kibernetičku bezbjednost saopštila je da su se napadi poklopili s raketnim napadima koje su orkestrovale ruske oružane snage usmjerene na ukrajinsku energetsku infrastrukturu, što ukazuje na preklapanje ciljeva.
Objava dolazi samo nekoliko dana nakon što je ESET pripisao Sandworm-u brisač podataka baziran na Golangu nazvan SwiftSlicer koji je 25. januara 2023. godine bio usmjeren protiv neimenovanog ukrajinskog entiteta.
Grupa napredne persistentne prijetnje (APT) povezana s ruskom stranom vojnom obavještajnom agencijom GRU također je umiješana u djelomično uspješan napad usmjeren na nacionalnu novinsku agenciju Ukrinform, postavljajući čak pet različitih brisača na kompromitovane mašine.
Tim za hitne slučajeve u Ukrajini (CERT-UA) identifikovao je pet varijanti brisača kao CaddyWiper, ZeroWipe, SDelete, AwfulShred i BidSwipe. Prva tri od njih su ciljala na Windows sisteme, dok su AwfulShred i BidSwipe imali za cilj Linux i FreeBSD sisteme.
Upotreba SDelete-a je primjetna, jer sugeriše da Sandworm eksperimentiše sa uslužnim programom kao sredstvom za brisanje u najmanje dva različita slučaja kako bi nanio neopozivu štetu ciljanim organizacijama u Ukrajini.
Međutim, ESET-ov istraživač malicioznog softvera Robert Lipovski rekao je za Hacker News da je “NikoWiper drugačiji maliciozni softver”.
Osim što se SDelete koristio kao oružje, Sandworm-ove nedavne kampanje su također koristile porodice ransomware-a po narudžbi, uključujući Prestige i RansomBoggs, da zaključaju podatke o žrtvama iza barijera za šifriranje bez ikakve opcije za njihovo vraćanje.
Napori su najnoviji pokazatelj da je upotreba destruktivnog malicioznog softvera za brisanje u porastu i da se sve više prihvaća kao cyber oružje izbora među ruskim hakerskim ekipama.
“Brisači se nisu široko koristili jer su ciljano oružje”, rekao je Dmitrij Bestužev iz BlackBerry-a u svojoj izjavi za The Hacker News. “Sandworm aktivno radi na razvoju brisača i ransomware porodica koje se eksplicitno koriste za Ukrajinu.”
Nije u pitanju samo Sandworm, jer su i druge ruske organizacije koje sponzoriše država, kao što su APT29, Callisto i Gamaredon, uložile paralelne napore da oštete ukrajinsku infrastrukturu putem phishing kampanja osmišljenih da olakšaju pristup backdoor-u i omoguće krađu kredencijala.
Prema Recorded Future, koji prati APT29 (aka Nobelium) pod imenom BlueBravo, APT je povezan s novom ugroženom infrastrukturom koja se vjerovatno koristi kao mamac za isporuku učitavača malicioznog softvera kodnog imena GraphicalNeutrino.
Učitavač, čija je glavna funkcija isporuka naknadnog malicioznog softvera, zloupotrebljava Notion-ov API za komunikaciju naredbe i kontrole (C2), kao i funkciju baze podataka platforme za pohranjivanje informacija o žrtvama i postavljanje korisnih podataka za preuzimanje.
“Svaka zemlja koja ima veze s ukrajinskom krizom, posebno one s ključnim geopolitičkim, ekonomskim ili vojnim odnosima s Rusijom ili Ukrajinom, izložene su povećanom riziku od napada”, navodi kompanija u tehničkom izvještaju objavljenom prošle sedmice.
Prelazak na Notion, legitimnu aplikaciju za bilježenje, naglašava APT29 “proširenu, ali kontinuiranu upotrebu” popularnih softverskih usluga kao što su Dropbox, Google Drive i Trello kako bi se spojio promet malicioznog softvera i zaobišlo otkrivanje.
Iako nije otkriven maliciozni softver druge faze, ESET koji je također pronašao uzorak malicioznog softvera u oktobru 2022. godine teoretizovao je da je bio “usmjeren na preuzimanje i izvršavanje Cobalt Strike-a”.
Nalazi se takođe približavaju Rusiji koja navodi da je bila meta “koordinisane agresije” 2022. godine i da se suočila sa “spoljnim kibernetičkim napadima bez presedana” od strane “obaveštajnih agencija, transnacionalnih IT korporacija i hakera”.
Kako rusko-ukrajinski rat zvanično ulazi u svoj dvanaesti mjesec, ostaje da se vidi kako će se sukob dalje razvijati u sajber sferi.
“Tokom protekle godine vidjeli smo talase povećane aktivnosti, kao što je u proljeće nakon invazije, u jesen i mirnijim mjesecima tokom ljeta, ali sveukupno je postojao gotovo konstantan tok napada” rekao je Lipovski. “Dakle, jedna stvar u koju možemo biti sigurni je da ćemo vidjeti više sajber napada.”
Izvor: The Hacker News
