Hakerzy używają SwiftSlicer Wiper do niszczenia plików Windows, mówią badacze bezpieczeństwa

Analitycy cyberbezpieczeństwa zidentyfikowali nowe złośliwe oprogramowanie, które ma być wymierzone w Ukrainę. Złośliwe oprogramowanie, wykryte przez firmę ESET zajmującą się cyberbezpieczeństwem, ma na celu zastąpienie plików używanych przez system operacyjny Microsoft Windows. Analitycy bezpieczeństwa obwinili o atak grupę o nazwie „Sandworm”, która była wielokrotnie oskarżana o przeprowadzanie cyberataków. Zespół hakerski rzekomo wdrożył nową wycieraczkę o nazwie SwiftSlicer przy użyciu zasad grupy Active Directory. Po uruchomieniu SwiftSlicer usuwa kopie w tle, sukcesywnie nadpisuje pliki na dyskach systemowych i niesystemowych, a następnie ponownie uruchamia komputer.

Firma ochroniarska ESET niedawno wykryła cyberatak wymierzony w Ukrainę. Atak został przypisany Sandwormowi i miał miejsce 25 stycznia. Zespół ten jest rzekomo jedną z grup hakerskich Rosyjskiego Zarządu Głównego Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (znanego również jako GRU) i jest często oskarżany o przeprowadzanie cyberataków. Nowe złośliwe oprogramowanie jest napisane w języku programowania Go.

„Napastnicy wdrożyli nową wycieraczkę, którą nazwaliśmy #SwiftSlicer, korzystając z zasad grupy Active Directory. Wycieraczka #SwiftSlicer jest napisana w języku programowania Go. Przypisujemy ten atak #Sandworm”, ESET ujawnił przez Twitter.

badacze firmy ESET wyjaśniać że wycieraczka SwiftSlicer usuwa kopie w tle w systemie Windows po wykonaniu. Szkodliwe oprogramowanie następnie rekurencyjnie (sukcesywnie) nadpisuje kilka plików znajdujących się w sterownikach systemowych oraz dyskach niesystemowych, a następnie ponownie uruchamia komputer. Według firmy ESET do nadpisywania wykorzystuje blok o długości 4096 bajtów wypełniony losowo generowanymi bajtami.

Według ukraińskiego zespołu reagowania na incydenty komputerowe (CERT-UA), rosyjski Sandworm przeprowadził pięć ataków wymazujących na ukraińską Narodową Agencję Informacyjną – Ukrinform.

W poradni, CERT-UA stwierdza, że ​​wykrył warianty wycieraczek CaddyWiper, ZeroWipe, SDelete, AwfulShred i BidSwipe zainstalowane w systemach agencji prasowej. Spośród nich pierwsze trzy atakowały systemy Windows, podczas gdy AwfulShred i BidSwipe atakowały systemy Linux i FreeBSD w Ukrinform. Atak powiódł się tylko częściowo i nie wpłynął na działalność agencji prasowej.