Хакери използват SwiftSlicer Wiper за унищожаване на файлове на Windows, казват изследователи по сигурността

Изследователите на киберсигурността са идентифицирали нов зловреден софтуер, за който се твърди, че е насочен към Украйна. Зловреден софтуер, забелязан от фирмата за киберсигурност ESET, има за цел да презапише файлове, използвани от операционната система Windows на Microsoft. Изследователите по сигурността обвиниха за атаката група, наречена „Sandworm“, която многократно е обвинявана в извършване на кибератаки. Твърди се, че хакерският екип е разположил нов чистач, наречен SwiftSlicer, използвайки груповата политика на Active Directory. Веднъж изпълнен, SwiftSlicer изтрива скритите копия, последователно презаписва файлове в системните и несистемните устройства и след това рестартира компютъра.

Фирмата за сигурност ESET наскоро откри кибератака, насочена към Украйна. Атаката се приписва на Sandworm и е извършена на 25 януари. Твърди се, че екипът е една от хакерските групи на руската Главна дирекция на Генералния щаб на въоръжените сили на Руската федерация (известна още като ГРУ) и често е обвиняван в извършване на кибератаки. Новият зловреден софтуер е написан на езика за програмиране Go.

„Нападателите внедриха нов чистач, който нарекохме #SwiftSlicer, използвайки груповата политика на Active Directory. Чистачката #SwiftSlicer е написана на езика за програмиране Go. Приписваме тази атака на #Sandworm,” ESET разкри чрез Twitter.

Изследователи на ESET обяснявам че чистачът SwiftSlicer изтрива скритите копия в системата Windows след изпълнение. След това злонамереният софтуер рекурсивно (последователно) презаписва няколко файла, разположени в системните драйвери, както и в несистемните устройства, и след това рестартира компютъра. За презаписване той използва блок с дължина 4096 байта, запълнен с произволно генерирани байтове, според ESET.

Според украинския компютърен екип за спешно реагиране (CERT-UA), руският Sandworm е разположил пет атаки за изтриване на Националната информационна агенция на Украйна – Ukrinform.

В съветник, CERT-UA заявява, че е открил варианти на чистачки CaddyWiper, ZeroWipe, SDelete, AwfulShred и BidSwipe, инсталирани в системите на информационната агенция. От тях първите три бяха насочени към Windows системи, докато AwfulShred и BidSwipe бяха насочени към Linux и FreeBSD системи в Ukrinform. Атаката е била само частично успешна и не е засегнала дейността на информационната агенция.