Hackers gebruiken SwiftSlicer Wiper om Windows-bestanden te vernietigen, zeggen beveiligingsonderzoekers

Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe malware geïdentificeerd die gericht zou zijn op Oekraïne. De kwaadaardige software, ontdekt door cyberbeveiligingsbedrijf ESET, is bedoeld om bestanden te overschrijven die worden gebruikt door het Windows-besturingssysteem van Microsoft. De beveiligingsonderzoekers gaven de schuld aan de aanval op een groep genaamd "Sandworm" die herhaaldelijk is beschuldigd van het uitvoeren van cyberaanvallen. Het hackteam zou een nieuwe wisser hebben geïmplementeerd, SwiftSlicer genaamd, met behulp van Active Directory Group Policy. Eenmaal uitgevoerd, verwijdert de SwiftSlicer schaduwkopieën, overschrijft achtereenvolgens bestanden in het systeem en niet-systeemschijven en start vervolgens de computer opnieuw op.

Beveiligingsbedrijf ESET ontdekte onlangs een cyberaanval die gericht was op Oekraïne. De aanval wordt toegeschreven aan Sandworm en vond plaats op 25 januari. Het team is naar verluidt een van de hackgroepen van het Russische hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (ook bekend als GRU) en wordt vaak beschuldigd van uitvoeren van cyberaanvallen. De nieuwe malware is geschreven in de programmeertaal Go.

“Aanvallers hebben een nieuwe wisser ingezet die we #SwiftSlicer hebben genoemd met behulp van Active Directory Group Policy. De #SwiftSlicer-wisser is geschreven in Go-programmeertaal. We schrijven deze aanval toe aan #Sandworm,” ESET onthuld via Twitter.

ESET-onderzoekers verklaren dat de SwiftSlicer-wisser na uitvoering schaduwkopieën op het Windows-systeem verwijdert. De malware overschrijft vervolgens recursief (achtereenvolgens) verschillende bestanden in systeemstuurprogramma's en niet-systeemstations en start vervolgens de computer opnieuw op. Voor het overschrijven gebruikt het een blok met een lengte van 4096 bytes gevuld met willekeurig gegenereerde bytes, volgens ESET.

Volgens het Computer Emergency Response Team (CERT-UA) van Oekraïne heeft de Russische Sandworm vijf veegaanvallen uitgevoerd op het nationale persbureau van Oekraïne - Ukrinform.

In een advies, stelt CERT-UA dat het de ruitenwisservarianten CaddyWiper, ZeroWipe, SDelete, AwfulShred en BidSwipe heeft ontdekt die op de systemen van het persbureau zijn geïnstalleerd. Hiervan waren de eerste drie gericht op Windows-systemen, terwijl AwfulShred en BidSwipe zich richtten op Linux- en FreeBSD-systemen bij Ukrinform. De aanval was slechts gedeeltelijk succesvol en had geen invloed op de activiteiten van het persbureau.