Хакерлер Windows файлдарын жою үшін SwiftSlicer Wiper қолданбасын пайдаланады, дейді қауіпсіздік зерттеушілері

Киберқауіпсіздік зерттеушілері Украинаға бағытталған жаңа зиянды бағдарламаны анықтады. ESET киберқауіпсіздік фирмасы байқаған зиянды бағдарламалық құрал Microsoft корпорациясының Windows операциялық жүйесі пайдаланатын файлдарды қайта жазуға арналған. Қауіпсіздік зерттеушілері бұл шабуылға бірнеше рет кибершабуылдар жасады деп айыпталған «құм құрты» деп аталатын топты айыптады. Хакерлер тобы Active Directory Group Policy көмегімен SwiftSlicer деп аталатын жаңа тазартқышты орналастырды. Орындалғаннан кейін SwiftSlicer көлеңкелі көшірмелерді жояды, жүйелік және жүйелік емес дискілердегі файлдарды қайта жазады, содан кейін компьютерді қайта жүктейді.

ESET қауіпсіздік фирмасы жақында Украинаға бағытталған кибершабуылды анықтады. Шабуыл Sandworm-қа жатқызылды және 25 қаңтарда болды. Команда Ресей Федерациясы Қарулы Күштері Бас штабының Ресейдің Бас басқармасының (ГРУ деп те аталады) хакерлік топтарының бірі болып табылады және жиі айыпталады. кибершабуылдар жасау. Жаңа зиянды бағдарлама Go бағдарламалау тілінде жазылған.

«Шабуылшылар Active Directory топтық саясатының көмегімен #SwiftSlicer деп аталатын жаңа тазартқышты орналастырды. #SwiftSlicer тазалағыш Go бағдарламалау тілінде жазылған. Біз бұл шабуылды #Құмқұртына жатқызамыз», - деді ESET анықталған Twitter арқылы.

ESET зерттеушілері түсіндіріңіз SwiftSlicer тазалау құралы орындалғаннан кейін Windows жүйесіндегі көлеңкелі көшірмелерді жояды. Содан кейін зиянды бағдарлама жүйелік драйверлерде, сондай-ақ жүйелік емес дискілерде орналасқан бірнеше файлдарды рекурсивті түрде (кейіннен) қайта жазады, содан кейін компьютерді қайта жүктейді. Қайта жазу үшін ESET сәйкес кездейсоқ жасалған байттармен толтырылған 4096 байт ұзындық блогын пайдаланады.

Украинаның компьютерлік төтенше жағдайға әрекет ету тобының (CERT-UA) хабарлауынша, ресейлік «құм құрты» Украинаның Ұлттық ақпараттық агенттігі – Украинформға бес рет шабуыл жасады.

Кеңесте, CERT-UA ақпарат агенттігінің жүйелерінде орнатылған CaddyWiper, ZeroWipe, SDelete, AwfulShred және BidSwipe тазартқыш нұсқаларын тапқанын айтады. Олардың ішінде алғашқы үшеуі Windows жүйелеріне бағытталған, ал AwfulShred және BidSwipe Ukrinform сайтындағы Linux және FreeBSD жүйелеріне бағытталған. Шабуыл тек ішінара сәтті болды және ақпарат агенттігінің қызметіне әсер етпеді.