Даследчыкі бяспекі кажуць, што хакеры выкарыстоўваюць SwiftSlicer Wiper для знішчэння файлаў Windows

Даследчыкі ў галіне кібербяспекі ідэнтыфікавалі новую шкоднасную праграму, нацэленую на Украіну. Шкоднае праграмнае забеспячэнне, выяўленае фірмай па кібербяспецы ESET, прызначана для перазапісу файлаў, якія выкарыстоўваюцца аперацыйнай сістэмай Microsoft Windows. Даследчыкі бяспекі ўсклалі адказнасць за атаку на групу пад назвай «Sandworm», якую неаднаразова абвінавачвалі ў кібератаках. Каманда хакераў нібыта разгарнула новы шклоачышчальнік пад назвай SwiftSlicer з выкарыстаннем групавой палітыкі Active Directory. Пасля выканання SwiftSlicer выдаляе ценявыя копіі, паслядоўна перазапісвае файлы на сістэмных і несістэмных дысках, а затым перазагружае кампутар.

Ахоўная кампанія ESET нядаўна выявіла кібератаку, накіраваную на Украіну. Напад быў прыпісаны Sandworm і адбыўся 25 студзеня. Каманда нібыта з'яўляецца адной з хакерскіх груп Галоўнага ўпраўлення Генеральнага штаба Узброеных сіл Расійскай Федэрацыі (таксама вядомага як ГРУ) і часта абвінавачваецца ў правядзенне кібератак. Новая шкоднасная праграма напісана на мове праграмавання Go.

«Зламыснікі разгарнулі новы ачышчальнік, які мы назвалі #SwiftSlicer, выкарыстоўваючы групавую палітыку Active Directory. Счышчальнік #SwiftSlicer напісаны на мове праграмавання Go. Мы звязваем гэту атаку з #Sandworm,” ESET выяўлена з дапамогай Twitter.

Даследчыкі ESET тлумачыць што ачышчальнік SwiftSlicer выдаляе ценявыя копіі ў сістэме Windows пасля выканання. Затым шкоднасная праграма рэкурсіўна (паслядоўна) перазапісвае некалькі файлаў, размешчаных у сістэмных драйверах, а таксама на несістэмных дысках, а затым перазагружае кампутар. Для перазапісу ён выкарыстоўвае блок даўжынёй 4096 байт, запоўнены выпадкова згенераванымі байтамі, згодна з ESET.

Па дадзеных Украінскай групы рэагавання на надзвычайныя сітуацыі ў галіне камп'ютэрных аварый (CERT-UA), расійскі Sandworm здзейсніў пяць нападаў на Нацыянальнае інфармацыйнае агенцтва Украіны – Укрінфарм.

У кансультацыйным, CERT-UA заяўляе, што выявіў варыянты шклоачышчальнікаў CaddyWiper, ZeroWipe, SDelete, AwfulShred і BidSwipe, устаноўленыя ў сістэмах інфармацыйнага агенцтва. З іх першыя тры былі нацэлены на сістэмы Windows, а AwfulShred і BidSwipe - на сістэмы Linux і FreeBSD на Укрінфарм. Атака ўдалася толькі часткова і не паўплывала на працу інфармацыйнага агенцтва.